Zasady przetwarzania danych osobowych w przypadku niezawarcia umowy kredytowej - Wyrok NSA z dnia 13 lutego 2025 r., sygn. III OSK 6563/21
Przetwarzanie danych osobowych w celach oceny zdolności kredytowej jest legalne, ale dalsze przechowywanie danych po osiągnięciu celu oceny kredytowej bez zawarcia umowy kredytowej wymaga prawnie uzasadnionego interesu, którego brak uniemożliwia dalsze przetwarzanie danych zgodnie z RODO.
Teza od Redakcji
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Pocztarek Sędziowie: Sędzia NSA Olga Żurawska-Matusiak Sędzia del. WSA Paweł Mierzejewski (spr.) Protokolant: Asystent sędziego Ewelina Gee-Milan po rozpoznaniu w dniu 13 lutego 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skarg kasacyjnych [...] S.A. z siedzibą w [...] oraz [...] S.A. z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 maja 2021 r. sygn. akt II SA/Wa 1982/20 w sprawie ze skarg [...] S.A. z siedzibą w [...] oraz [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 4 sierpnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargi kasacyjne; 2. zasądza od [...] S.A. z siedzibą w [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego; 3. zasądza od [...] S.A. z siedzibą w [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie (dalej: "WSA w Warszawie" albo "Sąd pierwszej instancji") wyrokiem z dnia 5 maja 2021 r., sygn. akt II SA/Wa 1982/20, po rozpoznaniu sprawy ze skarg [...] S.A. z siedzibą w W. oraz [...] S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych, oddalił skargi.
Wyrok ten zapadł w następujących okolicznościach faktycznych i prawnych.
A. G. (dalej: "wnioskodawca) skierował do Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ" albo "Prezes UODO") skargę na udostępnienie jego danych osobowych przez [...] S.A. z siedzibą w W. (dalej: "Bank") [...] S.A. z siedzibą w W. (dalej: "[...]") w zakresie zapytania kredytowego z dnia [...] listopada 2017 r. Wskazał, że z raportu [...] wynika, że dniu [...] listopada 2017 r. Bank zwrócił się do [...] z zapytaniem kredytowym bez zgody wnioskodawcy. Ponadto wnioskodawca podał, że nie składał żadnego wniosku do Banku, nie podpisywał żadnych dokumentów lub zgód, nie składał wniosków o kupienie sprzętu na raty w sklepie, ani nie miał konta w Banku. W związku z powyższym zwrócił się o nakazanie Bankowi usunięcia z bazy [...] wszelkich informacji dotyczących tego zapytania kredytowego oraz niezwłoczną aktualizację danych w bazie [...].
Prezes UODO decyzją z dnia [...] sierpnia 2020 r. nr [...] wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2020 r., poz. 256 ze zm.), dalej "k.p.a.", art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej: "ustawa o ochronie danych osobowych", art. 6 ust. 1 lit. f) w zw. z art. 5 ust. 1 lit. e), art. 57 ust. 1 lit. a) i f), oraz art. 58 ust. 2 lit. b) i g) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L 119 z 04.05.2016 r., str. 1, ze zm.),dalej: "RODO", nakazał Bankowi zaprzestania przetwarzania danych osobowych wnioskodawcy w zakresie zapytania kredytowego z dnia [...] listopada 2017 r. w systemie [...], przetwarzanych na podstawie art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2019 r. poz. 2357), dalej: "Prawo bankowe".
W uzasadnieniu wydanej decyzji Prezes UODO wskazał, że w toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie ustalił, że Bank pozyskał dane osobowe bezpośrednio od wnioskodawcy w związku ze złożeniem przez niego w dniu [...] lipca 2017 r. wniosku o udzielenie kredytu. Kolejny wniosek o udzielenie kredytu wnioskodawca złożył w dniu [...] listopada 2017 r., za pośrednictwem [...] S.A. z siedzibą w W., który pośredniczy dla Banku w realizacji czynności bankowych. Jednocześnie upoważnił Bank do zasięgania informacji o zobowiązaniach w instytucjach utworzonych na podstawie art. 105 ust. 4 Prawa bankowego. Powyższe wnioski nie zakończyły się zawarciem umów, natomiast w dniu [...] marca 2018 r. wnioskodawca podpisał z Bankiem umowę ramową o świadczenie usług oferowanych przez Bank dla osoby fizycznej, regulującą m.in. ogólne zasady korzystania z kanałów elektronicznych. Tego samego dnia wnioskodawca podpisał z Bankiem umowę o prowadzenie rachunku firmowego. Z kolei w dniu [...] maja 2018 r. podpisał umowę o prowadzenie rachunku oszczędnościowo - rozliczeniowego. Prezes UODO podkreślił, że wskazane umowy pozostają aktywne w systemie Banku. Ponadto wnioskodawca w dniu [...] sierpnia 2018 r. oraz w dniu [...] października 2018 r. ponownie wnioskował o udzielenie kredytu w Banku, jednak w obu przypadkach nie doszło do zawarcia umów. Przy czym Bank przetwarza dane skarżącego w następującym zakresie: imię, nazwisko, PESEL, NIP, data urodzenia, kraj urodzenia, miejsce urodzenia, seria i numer dowodu osobistego, data ważności dowodu osobistego, wizerunek, adres e-mail, obywatelstwo, adres zameldowania, zamieszkania oraz do korespondencji, kraj rezydencji, status dewizowy, numer telefonu komórkowego, nazwisko panieńskie matki, imiona rodziców, dane o wysokości uzyskiwanego dochodu oraz dane dotyczące pracodawcy.
W dniu [...] października 2018 r. do Banku wpłynął wniosek wnioskodawcy dotyczący usunięcia zapytań kredytowych oraz wycofania zgody na przetwarzanie jego danych dla celów marketingowych Banku, które powiązane były z wnioskami kredytowymi złożonymi w dniu [...] sierpnia 2018 r. oraz w dniu [...] października 2018 r.
W odpowiedzi Bank odnotował sprzeciw wobec przetwarzania danych wnioskodawcy dla celów marketingowych oraz wskazał przesłanki dotyczące przetwarzania danych wynikających ze złożonych zapytań kredytowych, w przypadku kiedy nie doszło do zawarcia umowy z Bankiem. Zaznaczył, że w związku z posiadaniem aktywnych umów łączących wnioskodawcę z Bankiem, podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. b) RODO, czyli w zakresie niezbędnym do realizacji umów oraz podjęciem działań przed zawarciem umowy. Dodatkowo dane wnioskodawcy przetwarzane są na podstawie art. 6 ust. 1 lit. c) RODO, tj. w związku z obowiązkiem prawnym wynikającym z art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 1994 r., Nr 121 poz. 591). Zdaniem Banku, przesłanką przetwarzania danych osobowych wnioskodawcy jest również - zgodnie z art. 6 ust. 1 lit. f) RODO - prawnie uzasadniony interes realizowany przez administratora danych, jakim jest ewentualne dochodzenie roszczeń powstałych w związku z wykonywaniem czynności bankowych oraz innych wynikających z przepisów powszechnie obowiązujących. Z kolei zakres czasowy przetwarzania danych w powyższym celu określa art. 118 Kodeksu cywilnego.
Prezes UODO podał, że ze złożonych wyjaśnień [...] wynika natomiast, że dane osobowe wnioskodawcy zostały przez ww. podmiot pozyskane od Banku w zakresie zapytań kredytowych, związanych z rozpatrzeniem przez Bank wniosków kredytowych. Zapytania te zostały złożone do [...] przez Bank na podstawie art. 105 ust. 4 Prawa bankowego i na podstawie łączącej strony umowy w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Przy czym zapytanie Banku do [...] w dniu [...] listopada 2017 r. było związane z oceną zdolności kredytowej i analizą ryzyka kredytowego związanego z wnioskiem kredytowym o kredyt na kwotę [...] zł i zostało złożone na podstawie art. 105 ust. 4 Prawa bankowego. Jednocześnie Bank przekazał do [...] dane w zakresie: danych na temat wnioskowanego kredytu (relacja klienta do rachunku, typ transakcji, kwota kredytu, waluta, liczba uczestników transakcji, numer wniosku kredytowego), dane identyfikujące osobę (imiona i nazwisko, PESEL, rodzaj dokumentu tożsamości, datę płeć, serię i numer dokumentu tożsamości, obywatelstwo), dane adresowe i teleadresowe, informację o udzieleniu upoważnienia na złożenie zapytania do biura informacji gospodarczej.
Prezes UODO zwrócił uwagę, że w czasie, gdy nastąpiło przekazanie danych osobowych wnioskodawcy przez Bank do [...] obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.). W związku z tym przekazanie przez Bank do bazy [...] danych wnioskodawcy nastąpiło w oparciu o przesłankę, o której mowa w art. 23 ust. 1 pkt 2 ww. ustawy (na mocy którego przetwarzanie danych było dopuszczalne tylko wtedy, gdy było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa) w związku z art. 105 ust. 4 oraz art. 105a ust. 1 Prawa bankowego. Organ podkreślił, iż dla legalności tego udostępnienia zgoda wnioskodawcy nie była wymagana. Niemniej jednak podstawa prawna, na którą powołuje się Bank w swoich wyjaśnieniach, tj. art. 105 ust. 4 Prawa bankowego, jedynie ogólnie reguluje prawo banków do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych. W ocenie Prezesa UODO z powyższego przepisu nie wynika umocowanie instytucji, jaką jest [...], do przetwarzania danych osobowych pozyskanych uprzednio w ramach zapytań kredytowych, po dokonaniu weryfikacji zdolności kredytowej osoby ubiegającej się o kredyt. Uznanie takiego procesu przetwarzania danych za legalny wymaga bowiem podstawy prawnej, a takiej podstawy nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami, ponieważ powszechnie obowiązujące przepisy prawa mają charakter nadrzędny nad tego rodzaju umowami oraz regulaminami.
Prezes UODO podał, że przeprowadzone postępowanie wykazało, iż w dniu [...] listopada 2017 r. Bank skierował do [...] zapytanie kredytowe, w celu oceny zdolności kredytowej wnioskodawcy, bowiem w podpisanym wniosku kredytowym skarżący upoważnił Bank do zasięgania informacji o zobowiązaniach w instytucjach utworzonych na podstawie art. 105 ust. 4 Prawa bankowego.
Organ przytoczył treść art. 5 ust. 1 lit. e) RODO i podniósł, że nie może mieć miejsca przetwarzanie danych związanych z zapytaniami, które nie zakończyły się przyznaniem kredytu, w oparciu o wskazany przez Bank w wyjaśnieniach art. 6 ust. 1 lit. f) RODO. Takie działanie prowadziłoby bowiem do rozszerzającej wykładni art. 6 ust. 1 lit. f) w związku z art. 5 ust. 1 lit. e) RODO, który stanowi iż dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Prezes UODO podkreślił, że w przedmiotowej sprawie celem była weryfikacja danych wnioskodawcy w [...] w kontekście jego zdolności kredytowej i cel ten został osiągnięty, niezależnie od faktu, czy proces zakończył się zawarciem umowy o udzielenie kredytu. Wobec tego, w ocenie organu, gromadzenie wskazanych danych w wieloletniej perspektywie "na przyszłość" nie znajduje oparcia w przepisach RODO. Po osiągnięciu celu (np. wykonaniu zawartej umowy, realizacji danego zadania) dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora. W związku z tym administrator danych jest zobowiązany do stałego nadzorowania zawartości swoich zbiorów pod kątem konieczności usuwania danych zbędnych albo tych, do których przetwarzania przestał być upoważniony ustawowo lub w drodze umowy.
W konsekwencji Prezes UODO stwierdził, że samo pozyskanie danych osobowych wnioskodawcy przez Bank, a następnie udostępnienie ich do [...], w zakresie zapytania kredytowego z dnia [...] listopada 2017 r., spełnia warunki legalnego przetwarzania danych osobowych, natomiast przetwarzanie tych danych w [...] już po dokonaniu weryfikacji zdolności kredytowej nie ma podstaw prawnych, w tym narusza zasadę wynikającą z art. 5 lit. e) RODO (uwaga Naczelnego Sądu Administracyjnego – winno być "art. 5 ust. 1 lit. e)"), tj. zasadę ograniczonego przechowywania.
Reasumując, Prezes UODO uznał za konieczne, na podstawie art. 58 ust. 2 lit. g) RODO, nakazanie Bankowi wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych wnioskodawcy w zakresie zapytania kredytowego z dnia [...] listopada 2017 r. w systemie [...], przetwarzanych na podstawie art. 105 ust. 4 Prawa bankowego.
Ze skargami do WSA w Warszawie na wyżej opisaną decyzję Prezesa UODO z dnia [...] sierpnia 2020 r. wystąpili Bank i [...].
Bank zaskarżonej decyzji zarzucił:
I. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7, art. 7a, art. 7b, art. 8 § 1 i § 2, art. 77 § 1 i § 4, art. 80, art. 81a, art. 107 § 3 k.p.a. w zw. z art. 52 ustawy o ochronie danych osobowych, polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, w szczególności brak współdziałania z Komisją Nadzoru Finansowego (dalej: "KNF") w przedmiotowym zakresie, co skutkowało nakazem zaprzestania przetwarzania przez Bank danych osobowych wnioskodawcy w zakresie wskazanym w zaskarżonej decyzji poprzez:
1) błędne ustalenie stanu faktycznego, polegające na przyjęciu, że wyłącznym celem przetwarzania danych w zakresie wskazanym w decyzji była weryfikacja danych wnioskodawcy w [...] w kontekście jego zdolności kredytowej oraz że cel przetwarzania danych przez Bank uznać należy za osiągnięty po dokonaniu weryfikacji zdolności kredytowej wnioskodawcy, podczas gdy Bank, przetwarzając dane wnioskodawcy, realizuje również inne cele, które wymagają dłuższego okresu przechowywania danych;
2) naruszenie zasady podejmowania z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, poprzez zaniechanie ustalenia wszystkich celów przetwarzania danych wnioskodawcy przez Bank oraz otoczenia regulacyjnego, w jakim funkcjonują Bank i [...], w tym zasad i obowiązków w zakresie dokonywania przez nich oceny ryzyka kredytowego oraz zakresu danych koniecznych do wykonania takiej oceny oraz okresu przechowywania danych w tym celu;
3) naruszenie zasady rozstrzygania wątpliwości, co do treści normy prawnej oraz stanu faktycznego, na korzyść skarżącego, w przypadku gdy przedmiotem postępowania jest odebranie stronie uprawnienia poprzez zawężającą interpretację przepisu art. 105 ust. 4 Prawa bankowego w sposób wykluczający ustalenie na jego podstawie uprawnienia Banku oraz [...] do przetwarzania danych wnioskodawcy i stwierdzenie, że przepis ten jedynie ogólnie reguluje prawo bankowe do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych, dotyczących zapytań kredytowych, podczas gdy, zgodnie z zasadą art. 7a oraz art. 81a k.p.a., ewentualne wątpliwości w zakresie treści tego przepisu oraz stanu faktycznego powinny być rozstrzygnięte na korzyść skarżącego;
4) brak skierowania wystąpienia do KNF oraz brak współdziałania z KNF w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy poprzez zaniechanie zwrócenia się do KNF, jako organu właściwego w sprawach nadzoru nad rynkiem finansowym, w celu ustalenia jakie obowiązki regulacyjne nałożone są na Bank w zakresie analizy ryzyka kredytowego, jak również w zakresie Rekomendacji S, W i T wydanych przez KNF oraz jak wpływają one na zakres zbierania oraz okres przetwarzania danych osobowych osób wnioskujących o kredyt, co doprowadziło do pominięcia w rozstrzygnięciu organu analizy dopuszczalności przetwarzania danych na cele związane z oceną tego ryzyka oraz przestrzeganiem powyższych rekomendacji;
5) brak wskazania podstawy prawnej i wyczerpującego uzasadnienia zaskarżonej decyzji wynikające z błędnego ustalenia, że z przepisu art. 105 ust. 4 Prawa bankowego nie wynika umocowanie skarżącego oraz [...] do przetwarzania danych osobowych pozyskanych uprzednio w ramach zapytań kredytowych, po dokonaniu weryfikacji zdolności kredytowej osoby ubiegającej się o kredyt, bez uwzględnienia całokształtu okoliczności istotnych dla rozstrzygnięcia sprawy w ich wzajemnym powiązaniu oraz poprzez pominięcie w uzasadnieniu wskazania innych przepisów, z których wynika obowiązek Banku przetwarzania danych wnioskodawcy, co uniemożliwia skarżącemu poznanie motywów, jakimi kierował się organ, a w rezultacie uniemożliwia pełną kontrolę instancyjną;
II. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj.:
1) art. 6 ust. 1 lit. c) RODO w zw. z art. 106d Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 106d Prawa bankowego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych, polegający na analizie podanych danych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w [...] w określonym czasie, w celu wykrycia potencjalnych nieścisłości, powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw oraz zapobiegania tym przestępstwom, o których mowa w art. 106d Prawa bankowego;
2) art. 6 ust. 1 lit. c) RODO w zw. art. 70a Prawa bankowego, poprzez niezastosowanie tego przepisu oraz nierozważenie, czy Bank ma obowiązek przetwarzać dane wnioskodawcy również po zakończeniu procesu oceny zdolności kredytowej na potrzeby realizacji obowiązku przewidzianego w art. 70a Prawa bankowego;
3) art. 6 ust. 1 lit. f) RODO w zw. z treścią obowiązujących Bank Rekomendacji S, W i T wydanych przez KNF, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f) RODO w związku z Rekomendacjami S, W i T KNF, podczas gdy przepisy te nakładają na Bank wymagania, które następnie podlegają egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa;
4) art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 ustawy Prawa bankowego, podczas gdy Bank przechowując dane wnioskodawcy w systemach [...] wykazuje cel przetwarzania danych osobowych, polegający na dostarczaniu bankom informacji, w tym ocen punktowych i modeli scoringowych niezbędnych do dokonywania przez banki oceny zdolności kredytowej oraz błędne przyjęcie, że podstawa prawna, na którą powołuje się Bank w swoich wyjaśnieniach, tj. art. 105 ust. 4 Prawa bankowego, jedynie ogólnie reguluje prawo Banku do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych, podczas gdy w rzeczywistości przepis ten stanowi podstawę prawną do przetwarzania danych przez Bank w dwóch osobnych celach, tj. w celu oceny zdolności kredytowej oraz w celu oceny ryzyka kredytowego;
5) art. 6 ust. 1 lit. c) RODO w zw. z art. 105a ust. 1-1c Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 105a ust. 1-1c Prawa bankowego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych, polegający na dokonywaniu analizy ryzyka kredytowego oraz realizacji wymogów w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE. L z 2013 r., Nr 176, str. 1, dalej "CRR");
6) art. 5 ust. 1 lit. e) RODO, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że przetwarzanie opisanych w zaskarżonej decyzji danych osobowych w systemach [...] po dokonaniu weryfikacji zdolności kredytowej wnioskującego, narusza wynikającą z tego przepisu zasadę ograniczonego przechowywania, podczas gdy dane wnioskującego nadal były konieczne do prawnie uzasadnionych celów Banku, dla których były przetwarzane, a które wynikały z przepisów art. 105 ust. 4, art. 105a czy art. 70 ust. 1, art. 70a, art. 106d Prawa bankowego, art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (tekst jedn. Dz. U. z 2019 r. poz. 1083) oraz CRR.
Wobec powyższych zarzutów Bank wniósł o uchylenie zaskarżonej decyzji w całości oraz o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.
W odpowiedzi na skargę Banku Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko zaprezentowane w zaskarżonej decyzji. Organ stwierdził, że zaskarżona decyzja wydana została w oparciu o zgromadzony materiał, w tym wyjaśnienia Banku, obecnie zaś Bank wskazuje inne podstawy przetwarzania danych osobowych niż podnosił w toku postępowania, choć posiadał wówczas najlepszą wiedzę co do prowadzonego przez siebie procesu przetwarzania danych osobowych wnioskodawcy i na wezwanie Prezesa UODO zobowiązany był złożyć pełne wyjaśnienia co do tego procesu. Powoływanie się zatem przez Bank w skardze na niewskazane wcześniej, pomimo wezwania organu przesłanki i cele przetwarzania danych osobowych dopiero na etapie skargi do Sądu nie może świadczyć o nieprawidłowości podjętego rozstrzygnięcia. Podnoszone w tym względzie kwestie stanowią polemikę ze stanowiskiem organu, która nie znajduje odzwierciedlenia w zgromadzonym w sprawie materiale dowodowym.
Nawiązując do przedłożonej odpowiedzi na skargę, w replice z dnia 28 kwietnia 2021 r. Bank podniósł w szczególności, że art. 105 ust. 4 Prawa bankowego stanowi wystarczającą podstawę prawną przetwarzania danych osobowych dotyczących zapytań kredytowych oraz określa cele przetwarzania danych o klientach banków a także osobach zainteresowanych usługami banków. Wymiana danych objętych zapytaniami kredytowymi jest bowiem niezbędna do realizacji zadań banku (w tym Banku), o których mowa w art. 105 ust. 4 Prawa bankowego. W ten sposób ww. przepisy korespondują z podstawą prawną przetwarzania danych osobowych, o której mowa w art. 6 ust. 1 lit. c) RODO. Bank zakwestionował również stanowisko organu, przyjmujące, iż Rekomendacje S, W i T KNF są irrelewantne z punktu widzenia określenia podstaw prawnych przetwarzania danych osobowych przez Bank. Zwrócił uwagę, że dostosowanie się przez Bank do szczegółowych wytycznych, zawartych w rekomendacjach KNF stanowi niewątpliwie jej prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f) RODO, ponieważ brak ich wdrożenia stanowi przesłankę do zastosowania środków nadzoru i odpowiedzialności nie tylko wobec skarżącego (jako banku), ale również osób nim zarządzających (np. na podstawie art. 138 ust. 3 Prawa bankowego).
W skardze na powyższą decyzję wniesionej przez [...] podmiot ten zarzucił organowi:
1) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 w zw. z art. 77 i art. 80 k.p.a., polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało nakazem zaprzestania przetwarzania danych osobowych wnioskodawcy w systemie [...] w zakresie wskazanym w zaskarżonej decyzji;
2) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7b k.p.a., polegające na zaniechaniu zwrócenia się do KNF jako organu właściwego w sprawach obowiązków banków związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, w zakresie wykorzystywania do realizacji tych obowiązków danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;
3) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w związku z art. 105 ust. 4 Prawa bankowego, podczas gdy przepisy te nakładają na [...] obowiązek przetwarzania danych osobowych, w tym danych z zapytań kredytowych przekazanych przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego na zasadzie wzajemności i w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego oraz innym instytucjom (instytucjom pożyczkowym) w zakresie niezbędnym do oceny zdolności kredytowej i analizy ryzyka kredytowego;
4) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f) RODO w zw. z Rekomendacjami S, W i T KNF, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f) RODO w związku z Rekomendacjami S, W i T KNF, podczas gdy przepisy te nakładają na banki, a w konsekwencji na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa;
5) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt 3 oraz art. 70 ust. 1 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w związku z art. 105 ust. 4 pkt 1 Prawa bankowego, podczas gdy [...] wykazuje cel przetwarzania danych osobowych polegający na dostarczaniu bankom informacji (w tym ocen i modeli scoringowych) niezbędnych do wykonywania czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów, przy czym ocena zdolności kredytowej jest obowiązkiem banków (art. 70 ust. Prawa bankowego);
6) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c) RODO w zw. z art. 105a ust. 1-1c Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 105a ust. 1-1c Prawa bankowego, podczas gdy [...] wykazuje cel przetwarzania danych osobowych polegający na przekazywaniu bankom, w tym [...] S.A. z siedzibą w W. będącemu stroną tego postępowania, informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego;
7) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c) RODO w zw. z art. 106d Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 106d Prawa bankowego, podczas gdy [...] wykazuje cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w [...] w określonym czasie w celu wykrycia potencjalnych nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego;
8) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c) RODO w zw. z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, m art. 46 oraz art. 49 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML), polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 AML, podczas gdy przepisy te nakładają na banki i [...] obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez [...];
9) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c) RODO w zw. z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit a, art. 171 ust. 2 i art. 179 ust 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE. L z 2013 r., Nr 176, str. 1, dalej: "CRR")), polegające na jego niewłaściwym zastosowaniu i przyjęciu, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z tymi przepisami CRR wskazującymi na określone obowiązki w zakresie wymogów ostrożnościowych;
10) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c) RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że [...] nie legitymuje się podstawą prawną przetwarzania danych osobowych, podczas gdy przepisy te nakładają na banki obowiązek wyjaśniania decyzji kredytowych, a wyjaśnienie to musi obejmować dane przetwarzane i dostarczane przez [...].
Z uwagi na powyższe [...] wniósł o uchylenie zaskarżonej decyzji w całości oraz o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.
W odpowiedzi na ww. skargę [...], Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko zaprezentowane zarówno w zaskarżonej decyzji, jak i w odpowiedzi na skargę Banku.
Pismem z dnia 20 listopada 2020 r., stanowiącym replikę na odpowiedź na skargę, [...] podtrzymał skargę i zakwestionował stanowisko organu odnośnie art. 105 ust. 4 Prawa bankowego. Wskazał, że przepis ten stanowi nie tylko upoważnienie do stworzenia takiego podmiotu jak [...], ale jest również podstawą do przetwarzania informacji objętych tajemnicą bankową, w tym danych osobowych przez sam [...]. Przepis 105 ust. 4 Prawa bankowego wyznacza w istocie cele dalszego przetwarzania danych o klientach banków i osobach chcących skorzystać z produktów bankowych. [...], jako instytucja powołana na podstawie tego przepisu, służy realizacji tych celów. Przepis ten stanowi prostą konsekwencję nałożonego na banki w art. 105 ust. 1 Prawa bankowego obowiązku wymiany między nimi informacji, stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych oraz nabywaniem i zbywaniem wierzytelności. W tym właśnie celu banki - w oparciu o art. 105 ust. 4 - powołały instytucję taką jak [...], aby za pośrednictwem stworzonego przez [...] systemu wymiany danych móc "centralnie" takie dane wymieniać, co miało się przyczynić i przyczynia się z oczywistych powodów (odpytanie o dane w jednym miejscu zamiast odpytywania kilkudziesięciu banków po kolei, z osobna) do przyspieszenia procedur kredytowych i obsługi klienta w tym zakresie. W analizowanym kontekście nie można traktować [...] jako niezależnego od banków podmiotu realizującego własne cele, ale jako podmiot służebny, realizujący wszystkie zadania dla sektora bankowego w oparciu o wyraźne przepisy ustawowe, których adresatami są banki. [...] wyraził obawę, że stanowisko organu może prowadzić do zakwestionowania wymiany jakichkolwiek informacji. Odnośnie zaś znaczenia Rekomendacji KNF, podkreślił, że służą one z jednej strony interpretacji obowiązujących przepisów, z drugiej wyznaczają standardy realizacji poszczególnych obowiązków. Z tego powodu na rynku finansowym trudno sobie wyobrazić nieprzestrzeganie rekomendacji KNF. Może to bowiem spowodować nałożenie na taki podmiot stosownych sankcji - przewidzianych m. in. w art. 138 Prawa bankowego.
Wojewódzki Sąd Administracyjny w Warszawie postanowieniem z dnia 5 maja 2021 r., sygn. akt II SA/Wa 1982/20, połączył przedmiotowe sprawy ze skargi Banku oraz [...] w celu ich łącznego rozpoznania i rozstrzygnięcia pod sygn. akt II SA/Wa 1982/20.
Powołanym na wstępie wyrokiem z dnia 5 maja 2021 r. sygn. akt II SA/Wa 1982/20 Sąd pierwszej instancji oddalił wniesione skargi, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2019 r., poz. 2325 ze zm.), dalej "P.p.s.a.".
W uzasadnieniu wydanego orzeczenia Sąd pierwszej instancji wskazał, że od dnia 25 maja 2018 r. w polskim porządku prawnym obowiązuje ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), jak również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. Seria L. rok 2016 nr 119 str. 1 z dnia 4 maja 2016 r. z późn. zm.), dalej "RODO", które stosuje się bezpośrednio.
WSA w Warszawie podał, że przetwarzanie danych definiuje art. 4 pkt 2 RODO, zgodnie z którym przetwarzanie danych oznacza "operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Z kolei sposób postępowania przy przetwarzaniu danych osobowych wyznacza art. 5 ust. 1 RODO, ujmując je w formę podstawowych obowiązków administratora, którą to treść ww. przepisu Sąd pierwszej instancji przytoczył. Ponadto podkreślił, że stosownie do ust. 2 art. 5 RODO administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie (rozliczalność). Przy czym przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 RODO, który określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny i odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one, co do zasady, równoprawne, mają charakter autonomiczny i niezależny, co z oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione.
Zdaniem Sądu pierwszej instancji w sprawie jest niesporne, że Bank pozyskał dane osobowe bezpośrednio od A. G. w związku ze złożeniem przez niego w dniu [...] lipca 2017 r. wniosku o udzielenie kredytu. Kolejny wniosek o udzielenie kredytu ww. złożył w dniu [...] listopada 2017 r. Wnioski te nie zakończyły się zawarciem umów.
WSA w Warszawie odnotował, że w przedmiotowej sprawie aktem prawnym, zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków, jest przede wszystkim ustawa - Prawo bankowe. Przy czym podstawą przetwarzania danych osobowych klientów banków, w tym ich przekazania do [...] w czasie trwania zobowiązania łączącego bank i klienta banku, jest artykuł 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego.
W ocenie Sądu pierwszej instancji za uprawnione należy uznać stanowisko Prezesa UODO, że w sytuacji gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest przesłanek ustawowych legalizujących dalsze przetwarzanie danych osobowych niedoszłego klienta. Taki wniosek wypływa z literalnego brzmienia art. 105a Prawa bankowego. WSA w Warszawie, mając na uwadze treść art. 105a ust. 1-6 Prawa bankowego podkreślił, że przepis art. 105a tej ustawy wyraźnie reguluje prawo do przetwarzania danych osobowych w sytuacji wygaśnięcia zobowiązania, wynikającego z umowy zawartej z bankiem lub inną instytucją lub podmiotem tam wymienionym, wprowadzając maksymalny limit czasowy tego przetwarzania. W ocenie Sądu pierwszej instancji ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank, a więc dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku niezawarcia stosownej umowy, pozostawałoby w oderwaniu od celu dla którego dane te uzyskano. Jednocześnie niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
Dodatkowo Sąd pierwszej instancji stwierdził, że przetwarzanie danych w zakresie oceny zdolności kredytowej i analizy ryzyka kredytowego, związanych z zapytaniami, które nie zakończyły się przyznaniem kredytu, nie może mieć miejsca również w oparciu o wskazany przez skarżących art. 6 ust. 1 lit. f) RODO, ponieważ ustawodawca w art. 105a Prawa bankowego wyraźnie wskazał granice przetwarzania danych w zakresie oceny zdolności kredytowej i analizy ryzyka kredytowego. Wobec tego w opisanych okolicznościach uznanie przetwarzania za legalne z uwagi na "prawnie uzasadniony interes" administratora lub strony trzeciej prowadziłoby do niewłaściwej wykładni art. 6 ust. 1 lit. f) w związku z art. 5 lit. e) RODO (uwaga Naczelnego Sądu Administracyjnego – winno być "art. 5 ust. 1 lit. e)"), który stanowi iż dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. W konsekwencji Sąd pierwszej instancji uznał, że Prezes UODO prawidłowo przyjął, iż w niniejszej sprawie nie została spełniona przesłanka niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie art. 6 ust. 1 lit. f) RODO.
W ocenie WSA w Warszawie organ nie naruszył również art. 7, art. 7a, art. 77, art. 80, art. 81 a, oraz art. 107 § 3 k.p.a., gdyż w sposób wyczerpujący zebrał i rozpatrzył cały materiał dowodowy. Jednocześnie uzasadnienie zaskarżonej decyzji zawiera wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne zawiera, w nawiązaniu do powyższego, należyte wyjaśnienie podstawy prawnej podjętego rozstrzygnięcia. Ponadto Prezes UODO nie naruszył także art. 7b k.p.a., poprzez zaniechanie zwrócenia się do KNF, uznając, że jako organ nadzorczy w zakresie stosowania przepisów dotyczących ochrony danych osobowych, nie ma potrzeby zwracania się do KNF w trybie art. 7b k.p.a.
Zdaniem Sądu pierwszej instancji nie budzi także wątpliwości prawidłowość stanowiska organu odnośnie związania Banku i [...] Rekomendacjami KNF. WSA w Warszawie wskazał również, że w kontrolowanej sprawie nie miały zastosowania przepisy rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE. L 2013 Nr 176, str. 1), ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML) ani też ustawa z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 1994 r., Nr 121 poz. 591), a w konsekwencji Prezes UODO nie mógł tych przepisów naruszyć. Według Sądu pierwszej instancji wszystkie podniesione przez skarżących zarzuty, zarówno dotyczące naruszenia prawa materialnego, jak i procesowego, okazały się chybione a ponadto brak jest podstaw do uznania, że organ dopuścił się innych naruszeń prawa, które mogłyby stanowić o uchyleniu albo stwierdzeniu nieważności zaskarżonej decyzji.
Reasumując, Sąd meriti stwierdził, że skoro w okolicznościach przedmiotowej sprawy wnioskodawca nie wyraził zgody na przetwarzanie jego danych osobowych przez Bank stosownie do art. 6 ust. 1 lit. a) RODO, a administrator danych nie wykazał innej podstawy legalizującej czynności przetwarzania, to Prezes UODO miał podstawę nakazać Bankowi zaprzestanie przetwarzania danych osobowych wnioskodawcy w zakresie zapytania kredytowego z dnia [...] listopada 2017 r. w systemie [...]., a wobec tego zaskarżona decyzja jest prawidłowa.
Skargi kasacyjne od zapadłego w dniu 5 maja 2021 r. wyroku o sygn. akt II SA/Wa 1982/20 wnieśli zarówno Bank, jak i [...].
[...] zaskarżając powyższe orzeczenie w całości zarzuciło:
I. naruszenie prawa materialnego, tj.:
1) 145 § 1 pkt 1 lit. a) w zw. z art. 7 k.p.a. w zw. z art. 6 k.p.a. oraz art. 7 Konstytucji RP, poprzez błędną interpretację art. 7 k.p.a. polegającą na uznaniu przez WSA w Warszawie, że wyjaśnienie przez Prezesa UODO stanu faktycznego obejmuje ustalenie podstaw prawnych przetwarzania danych wynikających z powszechnie obowiązujących przepisów prawa. Ustalenie praw i obowiązków stron jest obowiązkiem organu wynikającym z zasady praworządności i nie stanowi elementu ustalania stanu faktycznego;
2) art. 7b k.p.a., poprzez jego błędną interpretację, polegającą na uznaniu przez WSA w Warszawie, że organ zasadnie zaniechał zwrócenia się do KNF jako organu właściwego w sprawach obowiązków banków związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, w zakresie wykorzystywania do realizacji tych obowiązków danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;
3) art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 Prawo bankowe, polegające na jego niezastosowaniu i przyjęciu przez WSA w Warszawie, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 Prawo bankowe, podczas gdy przepisy te nakładają na [...] obowiązek przetwarzania danych osobowych, w tym danych z zapytań kredytowych przekazanych przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego na zasadzie wzajemności i w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego oraz innym instytucjom (instytucjom pożyczkowym) w zakresie niezbędnym do oceny zdolności kredytowej i analizy ryzyka kredytowego;
4) art. 6 ust. 1 lit. f) RODO w zw. z Rekomendacjami S, W i T KNF, polegające na jego niezastosowaniu i przyjęciu przez WSA w Warszawie, iż [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f) RODO w zw. z Rekomendacjami S, W i T KNF, podczas gdy przepisy te nakładają na banki, a w konsekwencji na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa;
5) art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt 3 oraz art. 70 ust. 1 Prawa bankowego, polegającego na jego niezastosowaniu i przyjęciu przez WSA w Warszawie, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 pkt 1 Prawa bankowego, podczas gdy [...] wykazuje cel przetwarzania danych osobowych polegający na dostarczaniu bankom informacji (w tym ocen i modeli scoringowych) niezbędnych do wykonywania czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów, a tym samym do realizacji przez banki obowiązku oceny zdolności kredytowej wynikającego z art. 70 ust. 1 Prawa bankowego;
6) art. 6 ust. 1 lit. c) RODO w zw. z art. 105a ust. 1-1c ustawy Prawa bankowego, polegającego na błędnej interpretacji poprzez uznanie przez WSA w Warszawie, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w związku z art. 105a ust. 1-1c Prawa bankowego, podczas gdy [...] wykazuje cel przetwarzania danych osobowych polegający na przekazywaniu bankom, w tym [...] S.A. (dalej: "Bank") będącemu stroną tego postępowania informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego;
7) art. 6 ust. 1 lit. c) RODO w zw. z art. 106d Prawa bankowego, polegającego na jego niezastosowaniu i przyjęciu przez WSA w Warszawie, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 106d Prawa bankowego, podczas gdy [...] wykazuje cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w [...] w określonym czasie w celu wykrycia potencjalnych nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego;
8) art. 6 ust. 1 lit. c) RODO w zw. z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu ("ustawa AML"), polegającego na jego niezastosowaniu i przyjęciu przez WSA w Warszawie, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 ustawy AML, podczas gdy przepisy te nakładają na banki i [...] obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez [...];
9) art. 6 ust. 1 lit. c) RODO w zw. z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit a, art. 171 ust. 2 i art. 179 ust 1 lit. a CRR, polegającego na jego niezastosowaniu i przyjęciu przez WSA w Warszawie, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z powyższymi przepisami CRR wskazującymi na określone obowiązki w zakresie wymogów ostrożnościowych;
10) art. 6 ust. 1 lit. c) RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego, polegającego na jego niezastosowaniu i przyjęciu przez WSA w Warszawie, że [...] nie legitymuje się podstawą prawną przetwarzania danych osobowych, podczas gdy przepisy te nakładają na banki obowiązek wyjaśniania decyzji kredytowych, a wyjaśnienie to musi obejmować dane przetwarzane i dostarczane przez [...].
II. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj.:
11) art. 141 § 4 P.p.s.a., poprzez całkowite pominięcie podniesionych w skardze zarzutów naruszenia przepisów bądź odniesienie się do nich w sposób nie pozwalający jednoznacznie ustalić przesłanek jakimi kierował się WSA w Warszawie, w zakresie art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 Prawa bankowego, art. 6 ust. 1 lit. f) RODO w zw. z Rekomendacjami S, W i T KNF, art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt 3 oraz art. 70 ust. 1 Prawa bankowego, art. 6 ust. 1 lit. c) RODO w zw. z art. 106d Prawa bankowego, art. 6 ust. 1 lit. c) RODO w zw. z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 ustawy AML, art. 6 ust. 1 lit. c) RODO w zw. z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit. a, art. 171 ust. 2 i art. 179 ust 1 lit a CRR oraz art. 6 ust. 1 lit. c RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego.
W związku z postawionymi zarzutami [...] wniosło o uchylenie zaskarżonego wyroku w całości, rozpoznanie skargi oraz uchylenie zaskarżonej decyzji Prezesa UODO z dnia [...] sierpnia 2020 r. w całości; względnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania WSA w Warszawie oraz o zasądzenie kosztów postępowania według norm przepisanych.
Nadto [...] wniosło o rozpoznanie sprawy objętej skargą kasacyjną na rozprawie.
Odpowiadając na skargę kasacyjną Prezes UODO wniósł o jej oddalenie oraz o przeprowadzenie rozprawy.
Bank zaskarżonemu wyrokowi zarzucił:
I. naruszenie prawa materialnego, tj.:
1. art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4, art. 70 ust. 1 oraz art. 105a ust. 1 Prawa bankowego, polegające na jego błędnej wykładni, która to błędna wykładnia polegała na uznaniu przez WSA w Warszawie za prawidłowe działania Prezesa UODO polegającego na przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4, art. 70 ust. 1 oraz art. 105a ust. 1 Prawa bankowego, podczas gdy Bank przechowując dane wnioskodawcy w systemach [...] wykazuje cel przetwarzania danych osobowych polegający na dostarczaniu bankom informacji, w tym ocen punktowych i modeli scoringowych niezbędnych do dokonywania przez banki oceny zdolności kredytowej oraz błędne przyjęcie, że podstawa prawna, na którą powołuje się Bank, tj. art. 105a ust. 1 Prawa bankowego, jedynie ogólnie reguluje prawo Banku do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych, podczas gdy w rzeczywistości przepis ten stanowi podstawę prawną do przetwarzania danych przez Bank w dwóch osobnych celach, tj. w celu oceny zdolności kredytowej oraz w celu oceny ryzyka kredytowego i tym samym błędnym uznaniu przez WSA w Warszawie, że decyzja Prezesa UODO nakazująca Bankowi zaprzestanie przetwarzania danych osobowych uczestnika, ze względu na brak spełnienia przesłanki do ich dalszego przetwarzania po zakończeniu procesu kredytowego, została wydana prawidłowo, co miało istotny wpływ na wynik sprawy, bowiem gdyby WSA w Warszawie dokonał prawidłowej wykładni art. 70a ust. 1 oraz art. 105a ust. 1 w zw. z art. 105 ust. 4 Prawa bankowego, to dostrzegłby, że Bank legitymuje się przesłanką przetwarzania danych osobowych z art. 6 ust. 1 lit. c) RODO w zw. z badaniem nie tylko zdolności kredytowej, ale również analizą ryzyka kredytowego i tym samym WSA w Warszawie dostrzegłby, że decyzja została wydana przez Prezesa UODO w sposób nieprawidłowy i tym samym błędnym uznaniu przez WSA w Warszawie, że decyzja Prezesa UODO nakazująca Bankowi zaprzestanie przetwarzania danych osobowych uczestnika, ze względu na brak spełnienia przesłanki do ich dalszego przetwarzania po zakończeniu procesu kredytowego, została wydana prawidłowo, co skutkowało tym, że WSA w Warszawie oddalił skargę, gdy powinien ją uwzględnić w sytuacji, gdy z art. 70 ust. 1 oraz art. 105a ust. 1 w zw. z art. 105 ust. 4 Prawa bankowego wynika prawne zobowiązanie Banku do przetwarzania danych osobowych wnioskodawców, których wnioski nie zakończyły się zawarciem umowy kredytowej, w związku z prawnym zobowiązaniem do oceny zdolności kredytowej oraz analizy ryzyka kredytowego;
2. art. 6 ust. 1 lit. c) RODO w zw. z art. 105a ust. 1-1c ustawy Prawa bankowego, polegające na jego błędnej wykładni, która to błędna wykładnia polegała na uznaniu przez WSA w Warszawie za prawidłowe działania Prezesa UODO polegającego na przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 105a ust. 1-lc Prawa bankowego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych polegający na dokonywaniu analizy ryzyka kredytowego oraz realizacji wymogów w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR i tym samym błędnym uznaniu przez WSA w Warszawie, że decyzja Prezesa UODO nakazująca Bankowi zaprzestanie przetwarzania danych osobowych uczestnika, ze względu na brak spełnienia przesłanki do ich dalszego przetwarzania po zakończeniu procesu kredytowego, została wydana prawidłowo, co miało istotny wpływ na wynik sprawy, bowiem gdyby WSA w Warszawie dokonał prawidłowej wykładni art. 105a Prawa bankowego w zw. z CRR, to dostrzegłby, że Bank legitymuje się przesłanką przetwarzania danych osobowych z art. 6 ust. 1 lit. c) RODO w związku z analizą ryzyka kredytowego poprzez tworzenie i kontrolowanie modeli scoringowych i tym samym dostrzegłby, że decyzja została wydana przez Prezesa UODO w sposób nieprawidłowy, co skutkowało tym, że WSA w Warszawie oddalił skargę, gdy powinien ją uwzględnić w sytuacji, gdy z art. 105a Prawa bankowego oraz CRR wynika prawne zobowiązanie Banku do przetwarzania danych osobowych wnioskodawców, których wnioski nie zakończyły się zawarciem umowy kredytowej;
3. art. 6 ust. 1 lit. c) RODO w zw. z art. 106d Prawa bankowego oraz art. 33 ust. 2, art. 33 ust. 3, art. 34 ust. 1 pkt 4, art. 36 oraz art. 49 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu ("ustawa AML") polegające na jego błędnej wykładni, która to błędna wykładnia polegała na uznaniu przez WSA w Warszawie za prawidłowe działania Prezesa UODO polegającego na przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 106d. Prawa bankowego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych polegający na analizie podanych danych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w [...] w określonym czasie w celu wykrycia potencjalnych nieścisłości, powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw oraz zapobiegania tym przestępstwom, o których mowa w art. 106d Prawa bankowego, a także wypełnianiu obowiązków zawartych w ustawie AML i tym samym błędnym uznaniu przez WSA w Warszawie, że decyzja Prezesa UODO nakazująca Bankowi zaprzestanie przetwarzania danych osobowych uczestnika, ze względu na brak spełnienia przesłanki do ich dalszego przetwarzania po zakończeniu procesu kredytowego, została wydana prawidłowo, co miało istotny wpływ na wynik sprawy, bowiem gdyby WSA w Warszawie dokonał prawidłowej wykładni art. 106d Prawa bankowego w zw. z art, 33 ust. 2, art. 33 ust. 3, art. 34 ust, 1 pkt 4, art. 36 oraz art. 49 ustawy AML, to dostrzegłby, że Bank legitymuje się przesłanką przetwarzania danych osobowych z art. 6 ust. 1 lit. c) RODO w zw. z koniecznością monitorowania i zgłaszania wszelkich przypadków uzasadnionego podejrzenia popełnienia przestępstwa i tym samym dostrzegłby, że decyzja została wydana przez Prezesa UODO w sposób nieprawidłowy, co skutkowało tym, że WSA w Warszawie oddalił skargę, gdy powinien ją uwzględnić w sytuacji, gdy z art. 106d Prawa bankowego oraz ustawy AML wynika prawne zobowiązanie Banku do przetwarzania danych osobowych również tych wnioskodawców, których wnioski nie zakończyły się zawarciem umowy kredytowej;
4. art. 6 ust. 1 lit. f) RODO w zw. z treścią obowiązujących Bank Rekomendacji S, W i T wydanych przez KNF polegające na jego błędnej wykładni, która to błędna wykładnia polegała na uznaniu przez WSA w Warszawie za prawidłowe działania Prezesa UODO polegającego na przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f) RODO w zw. z Rekomendacjami S, W i T KNF, podczas gdy rekomendacje te nakładają na Bank wymagania, które następnie podlegają egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa i tym samym błędnym uznaniu przez WSA w Warszawie, że decyzja Prezesa UODO nakazująca Bankowi zaprzestanie przetwarzania danych osobowych uczestnika, ze względu na brak spełnienia przesłanki do ich dalszego przetwarzania po zakończeniu procesu kredytowego, została wydana prawidłowo, co miało istotny wpływ na wynik sprawy, bowiem gdyby WSA w Warszawie dokonał prawidłowej wykładni postanowień rekomendacji KNF i związanych z nimi przepisów kontrolnych, to dostrzegłby, że Bank legitymuje się przesłanką przetwarzania danych osobowych z art. 6 ust. 1 lit. f) RODO w zw. z koniecznością dostosowania swoich działań do zaleceń organu kontrolnego jakim jest KNF, który to organ kontrolny może wydawać wiążące dla Banku zalecenia oraz stosować wobec Banku sankcje, i tym samym dostrzegłby, że decyzja została wydana przez Prezesa UODO w sposób nieprawidłowy, co skutkowało tym, że WSA w Warszawie oddalił skargę, gdy powinien ją uwzględnić w sytuacji, gdy z rekomendacji KNF wynika prawnie uzasadniony interes Banku do przetwarzania danych osobowych również tych wnioskodawców, których wnioski nie zakończyły się zawarciem umowy kredytowej;
5. art. 6 ust. 1 lit. c) RODO w zw. z art. 70a Prawa bankowego, polegające na jego błędnej wykładni, która to błędna wykładnia polegała na uznaniu przez WSA w Warszawie za prawidłowe działania Prezesa UODO polegającego na braku rozważenia czy Bank ma obowiązek przetwarzać dane wnioskodawcy również po zakończeniu procesu oceny zdolności kredytowej na potrzeby realizacji obowiązku przewidzianego w art. 70a Prawa bankowego i tym samym błędnym uznaniu przez WSA w Warszawie, że decyzja Prezesa UODO nakazująca Bankowi zaprzestanie przetwarzania danych osobowych uczestnika, ze względu na brak spełnienia przesłanki do ich dalszego przetwarzania po zakończeniu procesu kredytowego, została wydana prawidłowo, co miało istotny wpływ na wynik sprawy, bowiem gdyby WSA w Warszawie dokonał prawidłowej wykładni art. 70a Prawa bankowego, to dostrzegłby, że Bank legitymuje się przesłanką przetwarzania danych osobowych z art. 6 ust. 1 lit. f) RODO w zw. z koniecznością prawnego zobowiązania do udzielania odpowiedzi na zapytania wnioskodawców po zakończeniu procesu kredytowego, i tym samym dostrzegłby, że decyzja została wydana przez Prezesa UODO w sposób nieprawidłowy, co skutkowało tym, że WSA w Warszawie oddalił skargę, gdy powinien ją uwzględnić w sytuacji, gdy z art. 70a Prawa bankowego wynika prawne zobowiązanie Banku do przetwarzania danych osobowych również tych wnioskodawców, których wnioski nie zakończyły się zawarciem umowy kredytowej
6. art. 5 ust. 1 lit e) RODO, polegające na jego błędnej wykładni, która to błędna wykładnia polegała na uznaniu przez WSA w Warszawie za prawidłowe działania Prezesa UODO polegającego na przyjęciu, że przetwarzanie danych osobowych uczestnika w systemach [...] po dokonaniu weryfikacji zdolności kredytowej, narusza wynikającą z tego przepisu zasadę ograniczonego przechowywania, podczas gdy dane wnioskującego nadal były konieczne do prawnie uzasadnionych celów Banku, dla których były przetwarzane, a które wynikały ze wskazanych wyżej przepisów RODO, CRR, ustawy o AML, rekomendacji KNF oraz Prawa bankowego i tym samym błędnym uznaniu przez WSA w Warszawie, że decyzja Prezesa UODO nakazująca Bankowi zaprzestanie przetwarzania danych osobowych uczestnika, ze względu na brak spełnienia przesłanki do ich dalszego przetwarzania po zakończeniu procesu kredytowego, została wydana prawidłowo, co miało istotny wpływ na wynik sprawy, bowiem WSA w Warszawie nieprawidłowo przyjął, że zasada ograniczonego przechowywania danych osobowych wyrażona w art. 5 ust. 1 lit. e) RODO stoi w sprzeczności z możliwością przechowywania przez Bank danych osobowych wnioskodawców, których wnioski nie zakończyły się przyznaniem kredytu, również po zakończeniu procesu kredytowania, co skutkowało tym, że WSA w Warszawie oddalił skargę, gdy powinien ją uwzględnić w sytuacji, gdy prawne zobowiązania Banku oraz jego prawnie uzasadniony interes w przetwarzaniu danych osobowych wnioskodawców, których wnioski nie zakończyły się przyznaniem kredytu, uzasadniają dalsze przechowywanie tych danych;
II. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.
1. art. 145 § 1 pkt 1 lit. c) P.p.s.a w zw. z art. 7 k.p.a., art. 77 § 1 k.p.a. oraz art. 80 k.p.a., art. 8 § 1 i § 2 k.p.a., poprzez oddalenie przez WSA w Warszawie skargi w sytuacji, gdy decyzja wydana została przez Prezesa UODO pomimo niewystąpienia naruszenia prawa, a tym samym decyzja została oparta na błędnie ustalonym stanie faktycznym sprawy; podczas gdy zgodnie z zasadą prawdy obiektywnej i rozkładem ciężaru dowodu w postępowaniu administracyjnym Prezes UODO obowiązany był podjąć wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz zebrania i rozpatrzenia w sposób wyczerpujący całego materiał dowodowego, co miało istotny wpływ na wynik sprawy, bowiem gdyby WSA w Warszawie prawidłowo ocenił działania Prezesa UODO, uwzględniłby skargę;
2. art. 145 § 1 pkt 1 lit. c) P.p.s.a. w związku z art. 7b k.p.a. w zw. z art. 52 ustawy o ochronie danych osobowych, poprzez oddalenie przez WSA w Warszawie skargi w sytuacji, gdy decyzja wydana została przez Prezesa UODO pomimo niewystąpienia naruszenia prawa, a tym samym decyzja została oparta na błędnie ustalonym stanie faktycznym sprawy; podczas gdy zgodnie z zasadą prawdy obiektywnej i rozkładem ciężaru dowodu w postępowaniu administracyjnym Prezes UODO obowiązany był podjąć wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego, w tym zasięgnąć opinii odpowiednich organów w sprawach wymagających wiadomości spoza zakresu ochrony danych osobowych, oraz zebrania i rozpatrzenia w sposób wyczerpujący całego materiału dowodowego, co miało istotny wpływ na wynik sprawy, bowiem gdyby WSA w Warszawie prawidłowo ocenił działania Prezesa UODO, uwzględniłby skargę;
3. art. 134 § 1 P.p.s.a., poprzez niedostrzeżenie przez WSA w Warszawie istotnych naruszeń prawa dokonanych przez Prezesa UODO przy wydawaniu decyzji (o których to naruszeniach była szczegółowo mowa w skardze), co miało istotny wpływ na wynik sprawy, bowiem gdyby WSA w Warszawie prawidłowo ocenił działania Prezesa UODO, uwzględniłby skargę;
4. art. 141 § 4 P.p.s.a., poprzez ogólnikowe i niespójne sformułowanie przez WSA w Warszawie uzasadnienia wyroku w taki sposób, że nie jest możliwe odtworzenie operacji logicznych przeprowadzonych przez WSA w Warszawie, które doprowadziły do uwzględnienia skargi, podczas gdy w uzasadnieniu wyroku WSA w Warszawie zobowiązany był zamieścić pełne i przejrzyste wyniki kontroli sądowoadministracyjnej oraz należycie wyjaśnić podstawy prawne będące podstawą rozstrzygnięcia, co miało istotny wpływ na wynik sprawy, bowiem gdyby WSA w Warszawie nie dopuścił się powyższego naruszenia, uwzględniłby skargę;
5. art. 151 P.p.s.a. w zw. z art. 134 § 1 P.p.s.a. i art. 1 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jedn. Dz. U. z 2019 r., poz. 2167, ze zm.) oraz art. 3 § 1 i § 2 P.p.s.a., poprzez niewłaściwą realizację funkcji kontrolnej sprawowanej przez WSA w Warszawie polegającą na tym, że na gruncie przedmiotowej sprawy WSA w Warszawie nie dokonał w ramach przeprowadzonego postępowania samodzielnej weryfikacji i oceny stanowiska przedstawionego przez Prezesa UODO, ograniczając się do uznania stanowiska Prezesa UODO za swoje, co powoduje, że WSA w Warszawie dokonał kontroli legalności decyzji jedynie pozornie, podczas gdy wyżej wymienione przepisy obligują do pełnej i szczegółowej weryfikacji oraz oceny legalności działania organu administracji oraz wydanego przezeń aktu administracyjnego, co miało istotny wpływ na wynik sprawy, bowiem gdyby WSA w Warszawie nie dopuścił się powyższego naruszenia, uwzględniłby skargę.
W oparciu o wskazane zarzuty kasacyjne Bank wniósł o: uchylenie zaskarżonego wyroku, rozpoznanie skargi oraz uchylenie zaskarżonej decyzji; ewentualnie o uchylenie zaskarżonego wyroku i przekazanie sprawy WSA w Warszawie do ponownego rozpoznania. Bank wniósł także o przeprowadzenie rozprawy oraz zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych.
W odpowiedzi na skargę kasacyjną Banku organ wniósł o jej oddalenie oraz o przeprowadzenie rozprawy.
Naczelny Sąd Administracyjny zważył, co następuje:
Skargi kasacyjne nie zawierają usprawiedliwionych podstaw.
W świetle art. 174 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2024 r. poz. 935), dalej jako "P.p.s.a.", skargę kasacyjną można oprzeć na następujących podstawach:
1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie,
2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.
Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, ponieważ w świetle art 183 § 1 P.p.s.a. rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod rozwagę jedynie nieważność postępowania. Jeżeli zatem nie wystąpiły przesłanki nieważności postępowania wymienione w art. 183 § 2 P.p.s.a., a w rozpoznawanej sprawie przesłanek tych brak, to Sąd związany jest granicami skarg kasacyjnych Oznacza to, że Sąd nie jest uprawniony do samodzielnego dokonywania konkretyzacji zarzutów skarg kasacyjnych, a upoważniony jest do oceny zaskarżonego orzeczenia wyłącznie w granicach przedstawionych we wniesionych skargach kasacyjnych.
Rozpatrywane skargi kasacyjne oparte zostały na obydwu podstawach kasacyjnych uregulowanych w art. 174 pkt 1 i 2 P.p.s.a. Ze względu na dość ścisłe powiązanie zarzutów materialnych i formalnych zostaną one rozpoznane łącznie.
W pierwszej kolejności łącznemu omówieniu przez Naczelny Sąd Administracyjny podlega zarzut najdalej idący, to jest zarzut naruszenia art. 141 § 4 P.p.s.a., który został podniesiony zarówno w skardze kasacyjnej [...] jak i w skardze kasacyjnej Banku.
Należy podkreślić, że zarzut naruszenia art. 141 § 4 P.p.s.a. może być skutecznie postawiony w dwóch przypadkach: gdy uzasadnienie wyroku nie zawiera wszystkich elementów, wymienionych w tym przepisie i gdy w ramach przedstawienia stanu sprawy, wojewódzki sąd administracyjny nie wskaże, jaki i dlaczego stan faktyczny przyjął za podstawę orzekania (zob. w tej materii m.in. uchwałę Naczelnego Sądu Administracyjnego z dnia 15 lutego 2010 r.; sygn. akt: II FPS 8/09; publ. ONSAiWSA 2010/3/39). Naruszenie to musi być przy tym na tyle istotne, aby mogło mieć wpływ na wynik sprawy (art. 174 pkt 2 P.p.s.a.). Za jego pomocą nie można skutecznie zwalczać prawidłowości przyjętego przez sąd stanu faktycznego, czy też stanowiska sądu co do wykładni bądź zastosowania prawa materialnego. Przepis art. 141 § 4 P.p.s.a. jest bowiem przepisem proceduralnym, regulującym wymogi sporządzenia pisemnego uzasadnienia wyroku. W ramach rozpatrywania zarzutu naruszenia tego przepisu Naczelny Sąd Administracyjny zobowiązany jest jedynie do kontroli zgodności uzasadnienia zaskarżonego wyroku z wymogami wynikającymi z powyższej normy prawnej.
Dokonując kontroli uzasadnienia zaskarżonego wyroku w tak zakreślonych granicach stwierdzić należy, że zawiera ono przedstawienie stanu faktycznego sprawy, zarzutów podniesionych w skargach, stanowiska strony przeciwnej, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Sąd pierwszej instancji wskazał, jaki stan faktyczny i prawny przyjął jako podstawę orzekania. Z wywodów Sądu pierwszej instancji wynika, dlaczego w jego ocenie doszło do naruszenia prawa wnioskodawcy w zakresie przetwarzania danych osobowych i jakie przyjął znaczenie norm prawnych stosowanych w niniejszej sprawie, a także co stanowiło podstawę prawną rozstrzygnięcia zawartego w zaskarżonym wyroku. Zaskarżony wyrok poddaje się kontroli instancyjnej, co czyni zarzut naruszenia art. 141 § 4 P.p.s.a. bezskutecznym.
Odnosząc się do kolejnych zarzutów natury procesowej Naczelny Sąd Administracyjny wskazuje, że w skardze kasacyjnej Banku podniesiono zarzuty naruszenia: art. 145 § 1 pkt 1 lit. c P.p.s.a. w zw. z art. 7, art. 77 § 1 i art. 80 i art. 8 § 1 i § 2 k.p.a. (pkt II.1 petitum skargi kasacyjnej) oraz art. 145 § 1pkt 1 lit. c P.p.s.a. w zw. z art. 7b k.p.a. w zw. art. 52 ustawy o ochronie danych osobowych (pkt II.2 petitum wniesionego środka odwoławczego).
W odniesieniu do tych zarzutów należy przede wszystkim podnieść, że ich konstrukcja jest częściowo wadliwa. Przepisy powołane w ramach zarzutów naruszenia przepisów postępowania regulują podstawy uwzględnienia skargi z uwagi na naruszenie przez organy przepisów postępowania - art. 145 § 1 pkt 1 lit. c P.p.s.a. oraz obowiązków organów dotyczących administracyjnego postępowania wyjaśniającego (przepisy k.p.a.). Ponadto należy zwrócić uwagę, że art. 52 ustawy o ochronie danych osobowych składa się trzech jednostek redakcyjnych. Przepis ten reguluje kwestie dwóch specyficznych uprawnień organu ochrony danych osobowych: uprawnienia do kierowania wystąpień zmierzających do zapewnienia skutecznej ochrony danych oraz uprawnienia do składania wniosków o podjęcie inicjatywy ustawodawczej lub o wydanie bądź zmianę przepisów. W ust. 1 określony został przedmiot wystąpienia i wskazani zostali adresaci, do których tego rodzaju wystąpienie może być kierowane, ust. 2 normuje przedmiot i adresatów wniosku, natomiast w ust. 3 określone zostały obowiązki podmiotów, do których Prezes Urzędu skierował wystąpienie lub wniosek.
Wyjaśnić należy, że z art. 145 § 1 pkt 1 lit. c P.p.s.a. wynika, że sąd administracyjny uwzględnia skargę w sytuacji stwierdzenia naruszenia przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy. Wzruszenie zaskarżonego rozstrzygnięcia może mieć zatem miejsce w sytuacji, gdy sądowa kontrola wykaże naruszenie prawa procesowego, które mogło mieć istotny wpływ na wynik sprawy. Chodzi tu o naruszenie, które skutkuje przyjęciem, że bez jego popełnienia nie doszłoby do wydania rozstrzygnięcia określonej treści.
Nawiązując do przywołanych w skardze kasacyjnej Banku przepisów k.p.a. wskazać z kolei należy, że sąd administracyjny nie stosuje wprost przepisów regulujących postępowanie przed organami administracji publicznej, stąd też jego związanie tymi przepisami sprowadza się do obowiązku sformułowania oceny prawnej, czy proces podjęcia decyzji stosowania prawa przez organ administracji był prawidłowy. Nie budzi wątpliwości, że sformułowanie tej oceny wymaga odpowiedzi na szereg pytań, pytań takich samych jak te, na które musi odpowiedzieć organ administracji bezpośrednio stosujący te przepisy. To jednak nie wojewódzki sąd administracyjny stosuje te przepisy, lecz posługuje się nimi jedynie, jako swoistą matrycą porównawczą, w celu ustalenia, czy postępowanie organu w tym zakresie jest zgodne z ustalonym porządkiem prawnym (zob. w tej materii wyrok Naczelnego Sądu Administracyjnego z dnia 18 maja 2023 r.; sygn. akt III OSK 1251/21). Uchybienie przez sąd przepisom regulującym postępowanie organów administracji publicznej ma charakter pośredni i wynikać może jedynie z uchybienia przez sąd pierwszej instancji przepisom P.p.s.a.
Mając na uwadze warstwę opisową powyższych zarzutów stwierdzić należy, że autor skargi kasacyjnej Banku naruszenie przepisów postępowania upatruje w tym, że Sąd pierwszej instancji oddalił skargę, mimo że zaskarżona decyzja Prezesa UODO została oparta na błędnie ustalonym stanie faktycznym sprawy.
Należy wyjaśnić, że zgodnie z zasadą prawdy obiektywnej, która została skonstruowana w art. 7 k.p.a., w toku postępowania organy administracji publicznej z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy. Organ administracji publicznej ma zatem obowiązek zebrania i rozpatrzenia materiału dowodowego w taki sposób, aby ustalić stan faktyczny sprawy zgodny z rzeczywistością. Zasada prawdy obiektywnej została skonkretyzowana w art. 77 § 1 k.p.a., zgodnie z którym organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy. Natomiast zgodnie z art. 80 k.p.a. organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona.
Biorąc pod uwagę treść przytoczonych wyżej przepisów należy uznać, że w postępowaniu administracyjnym obowiązuje zasada oficjalności postępowania dowodowego. Okoliczność, w której strona również ma prawo wykazywania inicjatywy dowodowej, nie zwalnia organu administracji publicznej z obowiązku podejmowania z urzędu czynności zmierzających do pełnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy. Organ administracji publicznej jest zaś obowiązany z urzędu:
1. ustalić, jakie okoliczności faktyczne mają znaczenie dla rozstrzygnięcia sprawy;
2. ustalić, jakie dowody powinny zostać przeprowadzone w celu ustalenia powyższych okoliczności;
3. przeprowadzić dowody, które uznał za niezbędne dla dokonania prawidłowych ustaleń w zakresie stanu faktycznego sprawy;
4. dokonać oceny przeprowadzonych dowodów zgodnie z zasadą swobodnej oceny dowodów (zob. w tej materii m.in. wyrok Naczelnego Sądu Administracyjnego z dnia 23 lutego 2012 r.; sygn. akt II GSK 118/12).
Realizacja przez organ administracji publicznej powyższych obowiązków nie pozbawia oczywiście strony prawa do czynnego udziału w czynnościach postępowania dowodowego związanych z realizacją zasady czynnego udziału strony w postępowaniu. Prawo strony do czynnego udziału w każdym stadium postępowania jest realizowane w szczególności przez prawo do inicjatywy dowodowej, ukształtowanej w art. 78 k.p.a., prawo do brania czynnego udziału w czynnościach postępowania dowodowego (art. 79 k.p.a.), jak również prawo do wypowiedzenia się co do przeprowadzonych dowodów, wynikające z art. 10 § 1 i art. 81 k.p.a.
Z zasadą prawdy obiektywnej wiąże się kwestia rozłożenia ciężaru dowodu (onus probandi) w postępowaniu administracyjnym. Zasada prawdy obiektywnej przenosi ciężar dowodu w postępowaniu administracyjnym na organ administracji publicznej prowadzący postępowanie w sprawie. Co do zasady gospodarzem postępowania administracyjnego jest organ administracji publicznej, który powinien je prowadzić zgodnie z zasadą oficjalności, jednak strona ma prawo do czynnego uczestnictwa w postępowaniu wyjaśniającym, a w szczególności prawo inicjatywy dowodowej, z którego powinna korzystać, chcąc uniknąć negatywnych konsekwencji związanych z poczynionymi przez organ ustaleniami w zakresie stanu faktycznego sprawy na podstawie znanych organowi środków dowodowych.
Powyższe stanowisko dobrze ilustruje wyrok z dnia 8 listopada 2013 r. (sygn. akt II OSK 1291/12), w którym Naczelny Sąd Administracyjny stwierdził, że organ jest wprawdzie zobowiązany do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego, jednakże strona nie jest zwolniona od lojalnego współdziałania w wyjaśnianiu okoliczności faktycznych. Powinna ona bowiem przedstawić wszystkie informacje niezbędne do ustalenia stanu faktycznego sprawy, jak również udostępnić dowody znajdujące się w jej posiadaniu lub które tylko ona może przedstawić, potwierdzające okoliczności wskazane w uzasadnieniu wniosku wszczynającego postępowanie. Obowiązki te w żaden sposób nie wyłączają wymogu dążenia przez organ administracji do wyjaśnienia prawdy materialnej (art. 7 i art. 77 § 1 k.p.a.), niemniej jednak oznaczają, że składający wniosek powinien aktywnie współdziałać z organem w celu ustalenia wszystkich okoliczności sprawy. W sprawach, w których strona nie przedstawiła, jak też organ nie znalazł z urzędu dowodów potwierdzających fakty i zdarzenia, z których strona wywodzi dla siebie określone (z reguły korzystne) skutki prawne, przed wydaniem decyzji negatywnej organ administracji powinien zawsze wezwać stronę do uzupełnienia materiału dowodowego poprzez przedstawienie przez nią brakujących dowodów czy też sprecyzowania dotychczasowych niejasnych czy też ogólnikowych wyjaśnień. Należy zatem uznać, że obowiązki organów administracji publicznej w zakresie przeprowadzenia dowodów z urzędu celem odtworzenia prawdy obiektywnej nie sięgają tak daleko, by zwalniały stronę ze współudziału w zebraniu materiału dowodowego (zob. w tej materii wyroki Naczelnego Sądu Administracyjnego: z 17 lutego 2011 r.; sygn. akt II GSK 273/10 oraz z dnia 7 grudnia 2010 r.; sygn. akt II OSK 1677/10). W szczególności wówczas, gdy organ administracji publicznej dokonał pewnych ustaleń w zakresie stanu faktycznego na podstawie przeprowadzonych dowodów, a strona kwestionuje te dowody i ustalenia, przeciwdowód może być przeprowadzony z jej inicjatywy, organ nie ma natomiast obowiązku poszukiwania dowodów dla wykazania słuszności stanowiska strony (zob. w tej materii wyrok Naczelnego Sądu Administracyjnego z dnia 10 grudnia 2009 r.; sygn. akt II OSK 1933/08).
Należy ponadto podkreślić, że w postępowaniu administracyjnym, którego przedmiotem jest sprawa zgodności z prawem przetwarzania danych osobowych badaniu podlega kwestia, czy administrator przetwarza dane osobowe w sposób prawidłowy i zgodny z przepisami o ochronie danych osobowych. Istotne znaczenie ma regulacja art. 5 ust. 1 i 2 RODO. Zgodnie z powyższym przepisem:
1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu");
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych");
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania");
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").
Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) to na administratorze danych spoczywa obowiązek wykazania, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasady minimalizacji przetwarzania danych (art. 5 ust. 1 lit. c RODO).
Ponadto należy wyjaśnić, że Prezes UODO jest wyspecjalizowanym organem w sprawach ochrony danych osobowych, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu Prezes UODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. W sprawie niniejszej Prezes UODO nie miał zatem obowiązku zwracania się do KNF ani w zakresie dokonywanych ustaleń stanu faktycznego ani w zakresie wyjaśnień stanu prawnego.
Powyższe przesądza o bezzasadności zarzutów naruszenia przepisów postępowania, polegających na niedopatrzeniu się przez Sąd pierwszej instancji uchybień w postępowaniu dowodowym pomimo naruszeń przez organ przepisów postępowania. Prezes UODO zastosował się do zasad ogólnych postępowania administracyjnego: zasady praworządności, zasady prawdy obiektywnej i pogłębiania zaufania do władzy publicznej oraz nie przekroczył granic swobodnej oceny dowodów. Wbrew twierdzeniom autora skargi kasacyjnej Banku, Sąd pierwszej instancji dokonał prawidłowej oceny zaskarżonej decyzji przez pryzmat wzorców sądowej kontroli i nie stwierdzając uchybień, miał podstawy do zastosowania regulacji zawartej w art. 151 P.p.s.a.
Warto nadto zaznaczyć, że art. 145 § 1 pkt 1 lit. c P.p.s.a. to przepis wynikowy stanowiący jedynie prawną podstawę orzeczenia uchylającego zaskarżoną decyzję (albo postanowienie) z uwagi na naruszenie przepisów postępowania jeżeli mogło ono mieć istotny wpływ na wynik sprawy. Tym samym przepis ten nie może stanowić samodzielnej podstawy kasacyjnej. Podkreślić nadto należy, że skuteczność zarzutu naruszenia tego przepisu zależy od wykazania zasadności pozostałych zarzutów skargi kasacyjnej, co w niniejszej sprawie nie nastąpiło. W realiach rozpatrywanej sprawy nie było zatem podstaw do zastosowania środka prawnego uchylenia zaskarżonej decyzji na podstawie art. 145 § 1 pkt 1 lit. c. P.p.s.a.
Odnosząc się z kolei do zarzutu ujętego w pkt II.3 petitum skargi kasacyjnej Banku podnieść należy, że art. 134 § 1 P.p.s.a. stanowi, że sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Przepis ten określa zatem granice rozpoznania skargi przez sąd administracyjny pierwszej instancji, zaś granice danej sprawy wyznacza jej przedmiot wynikający z treści zaskarżonego działania lub bezczynności organu administracji publicznej. Oznacza to, że o naruszeniu normy wynikającej z powyższego przepisu można byłoby mówić, gdyby sąd wykroczył poza granice sprawy, w której została wniesiona skarga, albo – mimo wynikającego z tego przepisu obowiązku – nie wyszedł poza zarzuty i wnioski skargi, np. nie zauważając naruszeń prawa, które nie były powołane przez skarżącego, a które Sąd pierwszej instancji zobowiązany był uwzględnić z urzędu.
Dodatkowo należy wskazać, że w ramach zarzutu naruszenia art. 134 § 1 P.p.s.a. nie można skutecznie kwestionować dokonanej przez Sąd oceny ustalonego stanu faktycznego z punktu widzenia jego zgodności lub niezgodności z mającym zastosowanie w sprawie stanem prawnym, czy też prawidłowości dokonanej przez Sąd oceny działań organu administracji publicznej pod kątem zachowania przepisów procedur obowiązujących ten organ (zob. w tej materii wyrok Naczelnego Sądu Administracyjnego z 25 marca 2011 r.; sygn. akt I FSK 1862/09; wyrok Naczelnego Sądu Administracyjnego z dnia 11 kwietnia 2007 r.; sygn. akt II OSK 610/06; zob. nadto postanowienie Naczelnego Sądu Administracyjnego z dnia 11 stycznia 2012 r.; sygn. akt I OSK 2438/11 oraz wyrok Naczelnego Sądu Administracyjnego z dnia 15 października 2015 r.; sygn. akt I GSK 241/14). W ramach zarzutu naruszenia art. 134 § 1 P.p.s.a. nie można skutecznie kwestionować prawidłowości zajętego stanowiska prawnego i wyrażonych w uzasadnieniu zaskarżonego wyroku poglądów (zob. w tej wyrok Naczelnego Sądu Administracyjnego z dnia 2 lipca 2015 r.; sygn. akt I OSK 450/15), ani prawidłowości oceny materiału dowodowego (zob. w tej materii wyrok Naczelnego Sądu Administracyjnego z dnia 21 października 2010 r.; sygn. akt I GSK 264/09).
W ocenie Naczelnego Sądu Administracyjnego Sąd pierwszej instancji, rozpoznając skargi dotyczące tej samej decyzji administracyjnej niewątpliwie orzekał w granicach sprawy, oceniając postępowanie w zakresie skarg Banku oraz [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2020 r. w przedmiocie przetwarzania danych osobowych, a zatem nie orzekał w granicach (w znaczeniu podmiotowym i przedmiotowym) innej sprawy niż ta, w której zostały wniesione skargi. Ponadto istotnym jest podkreślenie, że strona nie może ograniczyć się do wytyku wyłącznie naruszenia art. 134 § 1 P.p.s.a., gdyż wówczas przepis ten nie może stanowić samodzielnej podstawy skargi kasacyjnej. W takiej sytuacji strona zobowiązana jest powiązać art. 134 § 1 P.p.s.a. z takimi przepisami, których naruszenia przez organ administracji miał nie dopatrzyć się sąd pierwszej instancji (zob. w tej materii m.in. wyrok Naczelnego Sądu Administracyjnego z dnia 22 maja 2014 r.; sygn. akt I OSK 782/13).
Należy odnotować, że w pkt II.5 petitum skargi kasacyjnej Banku sformułowano nadto zarzut naruszenia art. 151 P.p.s.a. w zw. z art. 134 § 1 P.p.s.a. i art. 1 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych oraz art. 3 § 1 i § 2 P.p.s.a.
Analiza przedmiotowego zarzutu prowadzi do konstatacji, że zarzut ten jest a limine nieskuteczny. W art. 151 P.p.s.a. ustawodawca uregulował bowiem treść rozstrzygnięcia sądu administracyjnego w przypadku, gdy względem aktu stanowiącego przedmiot kontroli sądowej nie zostały potwierdzone zarzuty naruszenia prawa. Skuteczność zarzutu naruszenia tego przepisu w skardze kasacyjnej zależy od wykazania zasadności pozostałych zarzutów skargi kasacyjnej, co w niniejszej sprawie nie nastąpiło. Orzeczenie oddalające skargę nie jest bowiem skutkiem zastosowania jedynie art. 151 P.p.s.a., lecz następstwem ustaleń poprzedzających wydanie wyroku i zastosowania przepisów nakazujących sądowi takie ustalenia poczynić. Skoro jak już podniesiono, nie było podstaw do zastosowania środka prawnego uchylenia zaskarżonej decyzji na podstawie art. 145 § 1 pkt 1 lit. c P.p.s.a., to uzasadniało to oddalenie skarg na podstawie art. 151 P.p.s.a. Jak wyjaśniono wyżej art. 134 § 1 P.p.s.a. określa granice rozpoznania skargi przez sąd pierwszej instancji. W realiach rozpatrywanej sprawy nie było podstaw do uznania, że Sąd pierwszej instancji naruszył tę regulację.
Odnosząc się z kolei do analizowanego zarzutu w zakresie, w jakim w warstwie opisowej zarzut ten ma za przedmiot art. 1 ustawy - Prawo o ustroju sądów administracyjnych podkreślenia wymaga, że art. 1 tzw. "ustawy ustrojowej" składa się z dwóch jednostek redakcyjnych.
Niezależnie od powyższego wskazać należy, że art. 1 § 1 i § 2 ustawy - Prawo o ustroju sądów administracyjnych jest przepisem ustrojowym normującym zakres i kryterium kontroli działalności administracji publicznej przez sądy administracyjne i jako taki co do zasady nie może stanowić samodzielnej podstawy kasacyjnej. Może być on skutecznie wskazany jako naruszony w ramach drugiej podstawy kasacyjnej w powiązaniu z konkretnie oznaczonymi przepisami ustawy - Prawo o postępowaniu przed sądami administracyjnymi (zob. w tej materii wyroki Naczelnego Sądu Administracyjnego; z dnia 11 maja 2012 r.; sygn. akt I OSK 70/12 oraz dnia 23 listopada 2010 r.; sygn. akt I GSK 445/10). Ponadto skoro przepis art. 1 § 1 i § 2 ww. ustawy jako przepis ustrojowy, a nie procesowy wskazuje w § 2 podstawowe kryterium sprawowania kontroli administracji publicznej przez sądy administracyjne, to przepis ten mógłby stanowić samodzielną i skuteczną podstawę kasacyjną tylko wówczas, gdyby sąd przyjął inne, niż legalność, kryterium kontroli. Zarzucając naruszenie tego przepisu strona powinna zatem bądź to wskazać konkretny przepis prawa, który powinien uwzględnić, a czego nie zrobił sąd pierwszej instancji dokonując kontroli legalności działania organów administracji, bądź ewentualnie przepis wskazujący inne kryterium kontroli (wykraczające poza zgodność z prawem). Wykazując naruszenie tego przepisu strona może wywodzić, że sąd niezasadnie wyszedł poza kryterium kontroli działalności administracji publicznej pod względem jej zgodności z prawem (tzn. wskazać, że nie zaistniał przypadek, w którym "ustawy stanowią inaczej"). Na żaden z tych sposobów naruszenia art. 1 § 1 i 2 ustawy - Prawo o ustroju sądów administracyjnych w skardze kasacyjnej Banku nie wskazano.
Odnosząc się zaś do wskazanego w warstwie opisowej omawianego zarzutu art. 3 § 1 i § 2 P.p.s.a. należy odnotować, że przepis art. 3 P.p.s.a. w istocie nie zawiera samodzielnej treści normatywnej, gdyż określa wyłącznie zakres postępowania sądowoadministracyjnego. Nie może być podstawą zarzutu kasacyjnego bez powiązania go z innymi przepisami procesowymi. Przepis ten także ma charakter ustrojowy, określając w sposób najbardziej ogólny i generalny zakres sprawowania wymiaru sprawiedliwości przez sądy administracyjne. Zawarte w nim unormowania nie mogą stanowić samodzielnej podstawy kasacyjnej, albowiem sądy administracyjne realizują swoje ustawowe kompetencje w ramach wykonywania kontroli legalności administracji publicznej na podstawie i w trybie szeregu konkretnych, określonych przepisów prawa, które w przypadku zarzutu ich naruszenia, winny być wskazane w skardze kasacyjnej z towarzyszącym temu sprecyzowaniem i umotywowaniem: do jakiego przekroczenia bądź niedopełnienia prawa doszło i na czym ono polegało. Wytknięcie naruszenia wskazanego przepisu – o ustrojowym charakterze – nie mogło okazać się skuteczne wyłącznie w powiązaniu z art. 151 i art. 134 § 1 P.p.s.a. oraz "art. 1 ustawy - Prawo o ustroju sądów administracyjnych".
Na tle poczynionych wcześniej rozważań za nieskuteczne uznać również należało zarzuty naruszenia art. 145 § 1 pkt 1 lit. a w zw. z art. 7 k.p.a. i art. 6 k.p.a. oraz art. 7 Konstytucji oraz art. 7b k.p.a., które autor skargi kasacyjnej [...] określił jako zarzuty naruszenia prawa materialnego (pkt I. 1 i 2 petitum skargi kasacyjnej [...]). W ocenie Naczelnego Sądu Administracyjnego treść omawianych zarzutów rozpatrywana łącznie z uzasadnieniem skargi kasacyjnej daje bowiem podstawę do stwierdzenia, że strona skarżąca kasacyjnie kwestionuje ustalenia i oceny w zakresie stanu faktycznego sprawy, upatrując wadliwość działania Sądu meriti w niewłaściwej ocenie materiału dowodowego.
W związku zatem z nieskutecznością podniesionych zarzutów w oparciu o drugą podstawę kasacyjną (art. 174 pkt 2 P.p.s.a.) Naczelny Sąd Administracyjny w procesie kontroli instancyjnej przyjmuje - jako niezakwestionowany punkt odniesienia - stan faktyczny i jego ocenę przyjęte przez Sąd pierwszej instancji.
Przechodząc do łącznej oceny zarzutów naruszenia prawa materialnego Naczelny Sąd Administracyjny odnotowuje, że kluczowy problem podniesiony w skargach kasacyjnych dotyczy legalności przetwarzania danych osobowych wnioskodawcy. W sprawie jest niesporne, że Bank pozyskał dane osobowe bezpośrednio od wnioskodawcy w związku ze złożeniem w dniu [...] lipca 2017 r. wniosku o udzielenie kredytu. Kolejny wniosek o udzielenie kredytu wnioskodawca złożył w dniu [...] listopada 2017 r. Wnioskodawca upoważnił Bank do zasięgania informacji o zobowiązaniach w Instytucjach utworzonych na podstawie art. 105 ust. 4 ustawy Prawo bankowe. Powyższe wnioski nie zakończyły się zawarciem umów. W czasie gdy nastąpiło przekazanie danych osobowych wnioskodawcy przez Bank do [...] obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W związku z powyższym przekazanie przez Bank do bazy [...] danych wnioskodawcy nastąpiło w oparciu o przesłankę, o której mowa w art. 23 ust. 1 pkt 2 ww. ustawy, tj. na mocy którego przetwarzanie danych było dopuszczalne tylko wtedy, gdy było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Dla legalności tego udostępnienia zgoda wnioskodawcy nie była wymagana.
W skargach kasacyjnych akcentuje się, że Bank i [...] legitymują się przesłanką przetwarzania danych wnioskodawcy na podstawie art. 6 ust. 1 lit. f RODO.
I tak, zgodnie z postanowieniami art. 6 ust. 1 RODO "[p]rzetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków - lit. f - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem".
Jak zasadnie wskazał Naczelny Sąd Administracyjny w uzasadnieniu wyroku z dnia 8 stycznia 2025 r. (sygn. akt III OSK 4868/21) zastosowanie art. 6 ust. 1 lit. f RODO jest uzasadnione, gdy łącznie spełnione są następujące przesłanki:
1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne;
2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora;
3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane.
Poprzez cel, dla osiągnięcia którego przetwarzanie danych osobowych jest niezbędne, należy rozumieć stan rzeczy, układ rzeczywistości, do którego dąży administrator poprzez to przetwarzanie. "Niezbędność" przetwarzania danych osobowych do osiągnięcia obranego przez administratora celu sprowadza się do ustalenia, że bez tego przetwarzania nie da się go zrealizować. Chodzi więc o wykazanie logicznie uzasadnionego i weryfikowalnego związku przyczynowo-skutkowego pomiędzy przetwarzaniem danych osobowych a realizacją stanu rzeczy, do którego dąży administrator. Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga od administratora wykazania, że jest to konieczne z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator będzie zobowiązany wykazać, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasada minimalizacji przetwarzanych danych (art. 5 ust. 1 lit. c RODO).
Kolejnym warunkiem przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest ustalenie, że cel, dla osiągnięcia którego przetwarzanie to jest niezbędne "wynika z prawnie uzasadnionych interesów realizowanych przez administratora (lub przez stronę trzecią)". Desygnatami "prawnie uzasadnionych interesów administratora" nie są przy tym wyłącznie te interesy, które ściśle wiążą się z realizacją praw i obowiązków wynikających z przepisów prawa. Takie wąskie rozumienie tego pojęcia prowadziłoby bowiem do częściowego zdublowania przesłanki przetwarzania danych osobowych z art. 6 ust. 1 lit. f z przesłanką określoną w art. 6 ust. 1 lit. c RODO; art. 6 ust. 1 lit. c RODO legitymizuje bowiem przetwarzanie danych osobowych, jeżeli "jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze". Prawnie uzasadniony interes administratora należy więc rozumieć jako interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym.
Do prawnie uzasadnionych interesów administratora danych osobowych prawodawca unijny odwołał się w motywie 47 preambuły RODO, w którym stwierdził, że "[t]aki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu".
Treść motywu 47 preambuły RODO nie wskazuje więc konkretnie, matrycowo, jakie warunki powinny zostać spełnione, aby można było stwierdzić, że administrator przetwarza dane osobowe zgodnie ze swoimi prawnie uzasadnionymi interesami. Podano jedynie przykładowo, iż może chodzić o szczególnego rodzaju relację pomiędzy administratorem a osobą, której dane są przetwarzane. W każdym konkretnym układzie należy rozstrzygnąć, czy treść i charakter tej relacji w sposób rozsądny uzasadnia takie przetwarzanie w określonym zakresie i czasie. Wyeksponować trzeba, że w motywie 47 prawodawca unijny w ogóle nie powiązał "prawnie uzasadnionych interesów" administratora z porządkiem prawnym. Akcent położył natomiast na charakter relacji łączącej administratora z osobą, której dane są przetwarzane, jej kontekstowość oraz wynikającą z jej indywidualnych uwarunkowań racjonalnie uzasadnioną potrzebę tego przetwarzania.
Motyw 47 preambuły RODO w kontekście rekonstrukcji zakresu stosowania art. 6 ust. 1 lit. f RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie, powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem, a osobą której dotyczą przetwarzane dane. Porządek prawny - w tej przestrzeni formułowania ocen - należy traktować jako granicę dopuszczalności prawnie uzasadnionego interesu administratora, na którym opiera przetwarzanie danych osobowych. Porządek prawny może więc być przeszkodą do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, jeżeli interesu administratora nie da się z nim pogodzić - interes administratora będzie sprzeczny z porządkiem prawnym, a więc nie będzie prawnie uzasadniony. Porządek prawny nie stanowi ścisłej podstawy uzasadnionego interesu administratora do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyznacza natomiast granicę tego przetwarzania (zob. w tej materii wyrok Naczelnego Sądu Administracyjnego z dnia 8 stycznia 2025 r.; sygn. akt III OSK 4868/21).
Odwołując się do regulacji ujętych w ustawie Prawo bankowe, należy podnieść, że przedmiot regulacji – przetwarzanie objętych tajemnicą bankową danych osób fizycznych – sytuował art. 105a jako przepis szczególny w stosunku do przepisów o ochronie danych osobowych, a od momentu wejścia w życie RODO – jako przepis wobec niego szczególny, z istotnymi jednak zastrzeżeniami wynikającymi z charakteru prawnego RODO. Mianowicie ogólny zasięg i bezpośrednia stosowalność RODO wyłącza jego transpozycję do prawa krajowego z wyjątkiem zakresu, który wynika wprost z samego rozporządzenia. Ponadto z mocy art. 4 ust. 3 Traktatu o Unii Europejskiej wszelkie przepisy krajowe wyłączające bądź osłabiające moc uprawnień nadanych jednostkom w rozporządzeniu – także w relacjach horyzontalnych, tj. pomiędzy jednostkami – muszą być pomijane przez organy krajowe w procesie stosowania prawa. Zatem norma zawarta w art. 105a Prawa bankowego ma charakter semiimperatywny wobec norm RODO. Jeżeli zakresy normowania i obowiązywania RODO i art. 105a Prawa bankowego pokrywają się, art. 105a znajduje zastosowanie tylko wtedy, gdy jest korzystniejszy dla osoby fizycznej, niż RODO. Ponadto art. 105a Prawa bankowego znajduje zastosowanie także w kwestiach nieuregulowanych w RODO; jednak w takim wypadku warunkiem zastosowania art. 105a Prawa bankowego jest zachowanie spójności aksjologicznej i prakseologicznej z RODO (zob. w tej materii: Lechosław Kociucki [w:] J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020; komentarz do art. 105(a); System Informacji Prawnej LEX/el).
Z kolei zgodnie z art. 105a ust. 1 Prawa bankowego przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane (...) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Stosownie zaś do art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana.
Natomiast art. 105a ust. 3 Prawa bankowego stanowi, że banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.
Według art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.
Natomiast ust. 5 art. 105a Prawa bankowego przewiduje, że przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (art. 105a ust. 6).
Z cytowanych przepisów wynika, że przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Zdaniem Naczelnego Sądu Administracyjnego wszelkie regulacje znoszące ochronę danych osobowych muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Zatem w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z Bankiem brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskującego o zawarcie i wykonanie umowy produktowej w zakresie zapytania kredytowego przez Bank, a następczo [...]. Brak jest również uzasadnienia dla przyjęcia, że Bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Wnioskodawca w niniejszej sprawie wykazał w sposób jednoznaczny wolę usunięcia danych, a zatem przyjąć należy, że nie jest zainteresowany realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego.
Prawidłowe w realiach niniejszej sprawy - zdaniem Naczelnego Sądu Administracyjnego - jest zatem stanowisko Prezesa UODO, że samo pozyskanie danych osobowych wnioskodawcy przez Bank, a następnie udostępnienie ich do [...] w zakresie zapytania kredytowego spełnia warunki legalnego przetwarzania danych osobowych, tak już przetwarzanie tych danych osobowych w [...] po dokonaniu jego weryfikacji zdolności kredytowej nie ma podstaw prawnych, w tym narusza zasadę wynikającą z art. 5 ust.1 lit. e RODO, tj. zasadę ograniczonego przechowywania.
Zdaniem Naczelnego Sądu Administracyjnego skoro nie doszło do zawarcia umowy kredytowej nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone w zapytaniach kredytowych, został tym samym osiągnięty. Odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez Bank oraz [...], które to przetwarzanie miało na celu ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy Bankiem a wnioskodawcą nie nawiązał się bowiem żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-5 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych zarówno przez Bank, jak i [...]. Nie budzi wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez Bank. Dalsze przetwarzanie danych, uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane.
Podkreślenia wymaga, że w sprawie niewątpliwie nie mamy do czynienia z sytuacją, w której nawiązano stosunek zobowiązaniowy i następnie dane przetwarzane są (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym, tj. realizacji zawartej z klientem umowy, ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora winny być, czy mogą być – w związku z trwającym stosunkiem prawnym - kwalifikowane jako jego "prawnie uzasadnione interesy" na gruncie RODO (art. 6 ust. 1 lit. f RODO). Sprawa przedmiotowa dotyczy przetwarzania danych osoby fizycznej, z którą Bank - w danym momencie - nie zawarł umowy.
W ocenie Naczelnego Sądu Administracyjnego podstawy do dalszego przetwarzania danych osobowych wnioskodawcy na przyszłość i w innych wskazywanych obecnie przez Bank i [...] celach nie stanowi w okolicznościach faktycznych niniejszej sprawy dla Banku, jak też [...] żadna z przesłanek z art. 6 ust. 1 lit. a - f RODO. W szczególności nie stanowi takiej przesłanki art. 6 ust. 1 lit. c RODO. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Podkreślenia wymaga, że art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Nadto przepis art. 105 ust. 4 ww. ustawy nie jest przepisem samodzielnie wprowadzającym kolejny podmiot, który ma dostęp do danych stanowiących tajemnicę bankową.
W nawiązaniu do powyższych zapatrywań i stanowisk stron skarżących kasacyjnie wskazać również należy na okoliczności, w jakich doszło do nowelizacji art. 105 ustawy – Prawo bankowe dokonanej mocą ustawy z dnia 1 kwietnia 2004 r. o zmianie ustawy – Prawo bankowe oraz o zmianie innych ustaw (Dz. U. z 2004 r., Nr 91, poz. 870). Fundamentalne znaczenie ma tutaj druk nr 2513-A Sejmu Rzeczypospolitej Polskiej IV kadencji (2001 – 2005), będący dodatkowym sprawozdaniem Komisji Europejskiej o rządowym projekcie ustawy o zmianie ustawy - Prawo bankowe oraz o zmianie innych ustaw (druki nr 2116 i 2513). Druk ten zawiera poprawkę nr 17 przewidującą w art. 105 po ust. 4d dodanie ust. 4e oraz 4f. Proponowany przepis ust. 4e miał mieć następujące brzmienie "Instytucje, o których mowa w ust. 4 mogą przetwarzać dane osobowe klientów banków przez okres 5 lat od dnia wygaśnięcia zobowiązania". Z kolei proponowany ust. 4f miał otrzymać brzmienie "Instytucje o których mowa w ust. 4 mogą przetwarzać dane o zapytaniach banków o osoby, których wnioski o udzielenie kredytu zostały rozpatrzone negatywnie, przez okres jednego roku od dnia otrzymania zapytania". Komisja po rozpatrzeniu tej poprawki zaproponowała jej odrzucenie. Jednocześnie należy wskazać, że w piśmie Urzędu Komitetu Integracji Europejskiej nr Min. DH-856/04/tlk z dnia 4 marca 2004 r. dotyczącym druku nr 2513-A, skierowanym bezpośrednio do Przewodniczącego Komisji Europejskiej Sejmu wyrażono jednoznaczną opinię, że poprawka nr 17 jest niezgodna z art. 7 (f) Dyrektywy 1995/46/WE, ponieważ nie wypełnia warunków dotyczących przetwarzania danych osobowych w niej zawartych (warunek celowości przetwarzania danych). Sejm RP w dniu 4 marca 2004 r. przyjął w całości projekt w wersji zaproponowanej przez Komisję Europejską Sejmu RP (por. materiały sejmowe z 69 posiedzenia Sejmu RP w dniach 2, 3, 4 i 5 marca 2004 r; dostępność: www.sejm.gov.pl).
Gdyby podzielić stanowisko zaprezentowane w skargach kasacyjnych, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia bank do ich nieograniczonego w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105a Prawa bankowego ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby sensu. Powyższe stanowisko wpisuje się w zapatrywanie Naczelnego Sądu Administracyjnego wyrażone w sposób transparentny w wyroku z dnia 27 sierpnia 2019 r. (sygn. akt I OSK 2567/17), w którym stwierdzono, że cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Celem oceny zdolności kredytowej i analizy ryzyka kredytowego w odniesieniu do konkretnego klienta jest bowiem zawarcie umowy kredytowej na określonych warunkach. Skoro do niej nie dochodzi wskutek tej czynności banku to nie ma podstaw prawnych do dalszego ich przechowywani. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań. Jakkolwiek pogląd ten wyrażony został na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed RODO dyrektywy nr 95/46/WE, jednakże w ocenie Naczelnego Sądu Administracyjnego nie stracił na aktualności. Przepisy RODO wzmacniają bowiem w porównaniu z dyrektywą 95/46/WE ochronę danych osobowych osób fizycznych.
W ocenie Naczelnego Sądu Administracyjnego na gruncie RODO niedopuszczalne jest – w stanie faktycznym niniejszej sprawy, gdy nie zawarto umów kredytowych – przetwarzanie danych osobowych wnioskodawcy "na przyszłość" w zupełnie innych celach niż je zebrano, w tym na potrzeby oceny zdolności kredytowej innych osób, w sytuacji, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań. Zdaniem Naczelnego Sądu Administracyjnego trafnie w motywach zaskarżonej decyzji Prezes UODO podkreślił, że nie stanowią takiej podstawy regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami, ponieważ powszechnie obowiązujące przepisy prawa mają charakter nadrzędny nad tego rodzaju umowami oraz regulaminami.
Należy również zwrócić uwagę, że z motywu 50 preambuły RODO wynika, że przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, jest dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. Ustalenie, czy pomiędzy pierwotnym celem przetwarzania a wtórnym celem przetwarzania zachodzi zgodność, wymaga uwzględnienia między innymi: wszelkich powiązań pomiędzy tymi celami; kontekstu, w którym dane osobowe zostały zebrane, w szczególności rozsądne przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania danych oparte na rodzaju ich powiązania z administratorem; charakter danych osobowych; konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; oraz istnienie odpowiednich zabezpieczeń zarówno podczas pierwotnej, jak i zamierzonej operacji dalszego przetwarzania.
Powołany motyw 50 preambuły RODO został rozwinięty w art. 6 ust. 4 RODO, w którym zastrzeżono, że przetwarzanie danych osobowych w celach innych niż ten, w którym dane osobowe zostały zebrane, jest dopuszczalne przy uwzględnieniu:
a) wszelkich związków między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
b) kontekstu, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
c) charakteru danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;
d) ewentualnych konsekwencji zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
e) istnienia odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Uwzględnienie powołanych regulacji RODO potwierdza wnioski Sądu pierwszej instancji, że w sytuacji gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest przesłanek ustawowych legalizujących dalsze przetwarzanie danych osobowych niedoszłego klienta.
Za niezasadne uznać należy nadto zarzuty podniesione w skargach kasacyjnych dotyczące naruszenia art. 6 ust. 1 lit. c) RODO w związku z przepisami ustawy AML oraz przepisami rozporządzenia CRR. Naczelny Sąd Administracyjny przypomina, że przedmiotem oceny organu a następnie Sądu pierwszej instancji była zgodność z prawem przetwarzania danych osobowych w świetle uprawnień przyznanych skarżącym kasacyjnie przez ustawę - Prawo bankowe, a nie sposobu funkcjonowania mechanizmów kredytowych i ustalenia, jakie dane są potrzebne Bankowi i [...] dla zapewnienia prawidłowego działania tych mechanizmów. Również odwoływanie się do konieczności przetwarzania danych osobowych wnioskodawcy w zakresie pytań kredytowych po dokonaniu weryfikacji zdolności kredytowej dla potrzeb tworzenia modeli scoringowych jest nieuprawnione. Scoring kredytowy to metoda oceny wiarygodności podmiotu – zwykle osoby fizycznej lub przedsiębiorstwa – ubiegającego się o kredyt bankowy. Polega na określeniu wiarygodności kredytowej klienta na podstawie porównania jego profilu z profilem klientów, którzy już otrzymali kredyty i je spłacają. W niniejszej sprawie wnioskodawca po złożeniu zapytań kredytowych nie zawarł umowy kredytowej z Bankiem, a tym samym nie spłacał zaciągniętego kredytu, zatem jego dane zawarte w zapytaniu kredytowym (określające profil klienta) są nieprzydatne do tworzenia modeli scoringowych. Ponadto przedmiotem niniejszej sprawy i kompetencji Prezesa UODO nie jest ustalenie możliwego sposobu realizacji przez Bank i [...] obowiązków nakładanych na te podmioty przez instytucje nadzorcze w zakresie prowadzonej działalności. Naczelny Sąd Administracyjny nie neguje, że ocena ryzyka kredytowego jest obowiązkiem Banku. Instrumenty służące dokonaniu takiej oceny przez banki muszą jednak być stosowane z poszanowaniem przepisów prawa normujących uprawnienie banków do przetwarzania danych osobowych potencjalnych klientów przy uwzględnieniu generalnych zasad przetwarzania danych osobowych (art. 5 ust. 1 i ust. 2 RODO). Z kolei uprawnienia do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego nie mają odniesienia do rozpoznawanej sprawy, gdy nie zawarto umowy kredytowej i nie można mówić o transakcji.
Odnosząc się z kolei do zarzutów w zakresie naruszenia art. 6 ust. 1 lit. f) RODO w zw. z Rekomendacjami S, W i T Komisji Nadzoru Finansowego wyjaśnić należy, że źródłami powszechnie obowiązującego prawa w Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (art. 87 ust. 1 Konstytucji RP z dnia 2 kwietnia 1997 r.; Dz. U. Nr 78, poz. 483 ze zm.). Nie ulega zatem wątpliwości, że rekomendacje KNF nie są aktami prawa powszechnie obowiązującego. Nie mieszczą się bowiem w zamkniętym katalogu źródeł powszechnie obowiązującego prawa Rzeczypospolitej Polskiej, określonym w art. 87 Konstytucji RP. Ponadto wydaje je organ, który nie ma stosownego umocowania konstytucyjnego.
Argumentem wzmacniającym przedstawioną ocenę prawną jest oczywisty fakt, że dane osobowe są wartością chronioną wprost przez Konstytucję RP. Jak stanowi art. 51 ust.1 i 2 Konstytucji, nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Prawo do ochrony danych osobowych stanowi emanację prawa do autonomii informacyjnej, pozwalając jednostce w określonym zakresie kontrolować sposób i zakres udostępnianych informacji jej dotyczących. Prawo od ich ochrony - jak przyjmuje się w piśmiennictwie – stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją RP (art. 47). Spostrzeżenie to oparte jest na założeniu, że dane osobowe są niejako częścią życia prywatnego lub rodzinnego, względnie że posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję decydowania o swoim życiu osobistym (zob. J. Barta, P. Fajgielski, R. Markiewicz, Ustawa o ochronie danych osobowych. Komentarz, komentarz do art. 1; System Informacji Prawnej LEX/el). Zgodnie z treścią art. 51 ust. 4 Konstytucji każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Brzmienie przywołanego przepisu nie pozostawia wątpliwości co do tego, że z jednej strony norma ta przewiduje swoiste roszczenie o modyfikację lub usunięcie danych nieprawdziwych, niepełnych lub zgromadzonych niezgodnie z ustawą, z drugiej natomiast kreuje po stronie organów lub podmiotów administrujących bazami danych obowiązek uwzględnienia oczekiwań obywatela, jeżeli rzeczywiście informacje te są obarczone wskazanymi wyżej wadami. Wobec tego każda norma hierarchicznie niższego rzędu (ustawa, rozporządzenie, akt prawa miejscowego), regulująca tego rodzaju kwestie, musi być interpretowana zgodnie z treścią przywołanego przepisu Konstytucji.
Zdaniem Naczelnego Sądu Administracyjnego skoro wnioskodawca zażądał respektowania jego prawa do ochrony danych osobowych wynikających z RODO i Konstytucji RP, a administrator danych nie wykazał innej podstawy legalizującej czynności przetwarzania, to Prezes UODO miał podstawę nakazać Bankowi zaprzestania przetwarzania danych osobowych wnioskodawcy w zakresie zapytania kredytowego z dnia [...] listopada 2017 r. w systemie [...]. W ocenie Naczelnego Sądu Administracyjnego w realiach niniejszej sprawy bezpieczeństwo depozytów oraz "kolektywna wiedza sektora bankowego", na którą wskazał autor skargi kasacyjnej Banku nie może być wartością nadrzędną wobec prawa osoby fizycznej do ochrony danych osobowych. W nawiązaniu do argumentacji skarżących kasacyjnie odnośnie konieczności zapewniania bezpieczeństwa depozytów i całego sektora za racjonalny uznać należy argument, że w określonych realiach nie można wykluczyć sytuacji związanej z próbą wyłudzenia kredytu przez daną osobę. Niemniej przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia nie stanowi prawnie usprawiedliwionego celu w rozumieniu art. 6 ust. 1 lit. f RODO. Przyjęcie przeciwnego zapatrywania oznaczałoby, że dane osobowe osoby fizycznej mogłyby być przetwarzane permanentnie, bez konieczności ich usunięcia.
Według Naczelnego Sądu Administracyjnego przyjęcie interpretacji zaprezentowanej w skargach kasacyjnych prowadziłoby nadto do tego, że wobec osoby, której dane zawarto w zapytaniu kredytowym i z którą nie zawarto umowy kredytowej, istniałaby dowolność, tak co do zasad przetwarzania jej danych osobowych (bez jej zgody, jak można wnioskować ze stanowiska [...] zawartego w skardze), jak również co do przedstawienia innych celów przetwarzania, których nie ujawniono wprost przed pozyskaniem danych (innych niż ocena zdolności kredytowej i ryzyka kredytowego) oraz co do dowolnego ustalenia czasu przetwarzania danych z uwzględnieniem przyjmowanych celów, które służą określonym wymogom organu nadzoru nad rynkiem finansowym. W konsekwencji, sytuacja osoby, która zwróciła się z zapytaniami kredytowymi i z którą nie zawarto umów kredytowych, jest z punktu widzenia ochrony danych osobowych, biorąc pod uwagę przepisy Prawa bankowego, sytuacją "gorszą" niż sytuacja osoby, która zawarła umowę kredytową i jej zobowiązanie wygasło. W tym drugim bowiem przypadku dla dalszego przetwarzania danych w [...] po wygaśnięciu zobowiązania wynikającego z danej umowy niezbędna jest zgoda osoby, której dane dotyczą. Zgodę taką można nadto w każdym czasie odwołać. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy zaś sytuacji istniejącej, a nie sytuacji przyszłej, hipotetycznej. Nadto gdyby przyjąć zapatrywania Banku i [...] to prawo do bycia zapomnianym stanowiłoby fikcję (art. 17 RODO). Można przecież założyć sytuację, że sytuacja finansowa osoby fizycznej poprawi się i osoba ta już nigdy nie będzie występować do Banku o kredyt, albo uczyni to dopiero po kilku latach od wcześniejszego wnioskowania.
Konkludując, przytoczona argumentacja w żaden sposób nie podważa prawidłowości oceny dokonanej przez Sąd pierwszej instancji, który w sposób dostateczny wyjaśnił, z jakich powodów rozstrzygnięcie organu jest zgodne z prawem. Powoływanie się przez Bank i [...] na niewskazane wcześniej, pomimo wezwania organu, różne przesłanki i cele przetwarzania danych osobowych (a które to przesłanki i cele przedstawiono dopiero na etapie skargi do sądu administracyjnego) - z przyczyn przedstawionych w powyższych rozważaniach - nie mogła determinować uznania, że wydana przez Prezesa UODO decyzja jest nieprawidłowa. W ocenie Naczelnego Sądu Administracyjnego argumentacja zaprezentowana w uzasadnieniach skarg kasacyjnych stanowi w istocie przejaw polemiki z prawidłowymi ustaleniami faktycznymi i oceną prawną poczynionymi przez Prezesa UODO, które prawidłowo zostały zaaprobowane przez Sąd pierwszej instancji.
Jak wskazano na wstępie, przytoczone w środku odwoławczym przyczyny wadliwości prawnej zaskarżonego wyroku determinują zakres kontroli dokonywanej przez sąd drugiej instancji, który w odróżnieniu od sądu pierwszej instancji nie bada całokształtu sprawy, lecz tylko weryfikuje zasadność zarzutów podniesionych we wniesionym środku odwoławczym. W realiach rozpatrywanej sprawy Naczelny Sąd Administracyjny uznał, że skargi kasacyjne nie zawierają usprawiedliwionych podstaw, w związku z czym, na podstawie art. 184 P.p.s.a., orzekł jak w sentencji wyroku, o ich oddaleniu.
O zasądzeniu od skarżących kasacyjnie na rzecz organu zwrotu kosztów postepowania kasacyjnego orzeczono jak w punkcie drugim i trzecim sentencji wyroku na podstawie art. 209 w zw. z art. 204 pkt 1 i art. 205 § 2 P.p.s.a.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych, https://orzeczenia.nsa.gov.pl/
POTRZEBUJESZ POMOCY?