Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000), w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) w zw. z art. 105a ust. 3 ustawy z dnia 29 sierpnia  1997 r. Prawo bankowe (Dz. U. z 2022 r. poz. 2324) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana X. Y., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez C. S.A., polegające na udostępnieniu jego danych osobowych do A. S.A. bez podstawy prawnej, Prezes Urzędu Ochrony Danych Osobowych

1.     nakazuje C. S.A., zaprzestania przetwarzania danych osobowych Pana X. Y., dotyczących umowy kredytu na zakup towarów i usług zawartej dnia […] lutego 2018 r. o numerze […], przetwarzanych na podstawie art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2022 r. poz. 2439) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego w systemie A. S.A.,

2.     nakazuje C. S.A., zaprzestania przetwarzania danych osobowych Pana X. Y., w zakresie dotyczącym umowy kredytu na zakup towarów i usług zawartej dnia […] lutego 2018 r. o numerze […] w systemach Banku.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana X. Y., zwanego dalej Skarżącym, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez C. S.A., zwaną dalej Bankiem, polegające na udostępnieniu danych osobowych Skarżącego przez Bank do A. S.A., zwaną dalej A., bez podstawy prawnej.

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.

1. Skarżący wskazał, że Bank nie spełnił wymagań uprawniających go do rozpoczęcia przetwarzania jego danych osobowych w bazie A. w związku z wierzytelnością wynikającą z umowy kredytu zawartą dnia […] lutego 2018 r., ponieważ Bank nie spełnił łącznie wszystkich warunków z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U.  z 2021 r. poz. 2439), zwanej dalej Prawem bankowym. Zdaniem Skarżącego Bank nie powiadomił Skarżącego o zamiarze przetwarzania jego danych osobowych bez jego zgody w bazie A. Wobec powyższego Skarżący wniósł o nakazanie zaprzestania przetwarzania jego danych w bazie A. oraz nakazanie powiadomienia przez Bank odbiorców jego danych w razie ich usunięcia przez Bank (dowód: skarga z dnia […] czerwca 2021 r.).
2. Bank wyjaśnił, że pozyskał dane osobowe Skarżącego w zakresie: imię, nazwisko, numer PESEL, numer i seria dowodu osobistego, adres zameldowania i adres korespondencyjny, adres poczty elektronicznej, numer telefonu komórkowego, informacje dotyczące zatrudnienia oraz wynagrodzenia, informacje dotyczące zobowiązań Skarżącego, stan cywilny, wspólność majątkowa, koszty utrzymania gospodarstwa domowego oraz łączna liczba osób na wspólnym utrzymaniu, w związku z umową kredytu pomiędzy Skarżącym a Bankiem na zakup towarów i usług o numerze […] zawartą dnia […] lutego 2018 r., z tytułu której powstało zadłużenie. Opóźnienie w spłacie wynosiło powyżej 60 dni (dowód: wyjaśnienia Banku z dnia […] marca 2022 r. oraz z dnia […] lipca 2021 r. wraz z załącznikami).
3. Bank wskazał, że w związku z zaległościami w spłacie zobowiązania wynikającego z umowy kredytowej numer […] skierował do Skarżącego zawiadomienie wysłane listem poleconym w dniu […] września 2018 r. o zamiarze przetwarzania danych po wygaśnięciu zobowiązania bez jego zgody, zgodnie z przepisami art. 105a ust. 3 Prawa bankowego. Bank wskazał, że nie dysponuje dowodem nadania, ani zwrotnym potwierdzeniem odbioru ww. korespondencji. Jako dowód potwierdzający wysłanie zawiadomienia Bank przedstawił wydruk z aplikacji, w której archiwizowane są dane o pismach skierowanych do klientów (dowód: wyjaśnienia Banku z dnia […] lipca 2021 r. wraz z załącznikami).
4. Skarżący zwracał się do Banku z żądaniem zaprzestania przetwarzania jego danych osobowych, przetwarzanych na podstawie art. 105a ust. 3 Prawa bankowego. Bank  w odpowiedzi na żądanie Skarżącego wskazał na przesłanki, na podstawie których był uprawniony do udostępnienia danych osobowych Skarżącego do A., w związku z umową kredytową numer […] (dowód: wyjaśnienia Banku z dnia […] lipca 2021 r.).
5. Obecnie dane osobowe Skarżącego w zakresie umowy kredytowej na zakup towarów i usług  o numerze […] przetwarzane są w bazie A. Zakres danych osobowych Skarżącego przetwarzanych przez A. obejmuje jego dane identyfikacyjne, dane adresowe oraz dane dotyczące zobowiązań i historii ich spłat. Rachunek ma aktualnie status rachunku zamkniętego i dane osobowe przetwarzane są w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, na podstawie art. 105a ust. 3 w zw. z art. 105 ust. 4 Prawa bankowego oraz na podstawie umowy zawartej przez Bank z A. (dowód: wyjaśnienia A. z dnia […] października 2021r. oraz wyjaśnienia Banku z dnia […] marca 2022 r., a także wyjaśnienia Banku z dnia  […] lipca 2022 r.).
6. Bank wskazał, że aktualnie przetwarza dane osobowe Skarżącego na podstawie swojego prawnie uzasadnionego interesu, czyli na podstawie art. 6 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie  o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, w celu obrony przed ewentualnymi roszczeniami w związku z art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2022 r. poz. 1360), zwanej dalej Kodeksem cywilnym. Ponadto Bank wyjaśnił, że Skarżący zwracał się z żądaniem zaprzestania przetwarzania jego danych na podstawie art. 105a ust. 3 Prawa bankowego, a pierwsze pismo Bank otrzymał w tym przedmiocie w dniu […] października 2019 r. W odpowiedzi na pismo Skarżącego, Bank potwierdził realizację przesłanek określonych w art. 105a ust. 3 Prawa bankowego,  a w szczególności wskazał numer nadania korespondencji z informacją o zamiarze przetwarzania danych Skarżącego, bez jego zgody. Odpowiedź została wysłana na wskazany przez Skarżącego adres do korespondencji (dowód: wyjaśnienia Banku z dnia […] lipca 2021 r.).
7. Bank po raz pierwszy przekazał dane osobowe Skarżącego do A., w tym dane dotyczące umowy kredytowej numer […] wsadem informacyjnym za dzień […] lutego 2018 r. Jak dalej wskazał Bank, aktualnie umowa kredytowa o numerze […] jest oznaczona w A. jako zamknięta, o statusie – odzyskana, tj. po przeprowadzeniu działań windykacyjnych oraz egzekucji komorniczej. Datą odzyskania jest data […] lipca 2019 r. i od tej daty, jak wskazał Bank, niniejsza umowa przetwarzana jest przez A. na podstawie art. 105a ust. 3 Prawa bankowego. Bank wyjaśnił, że upływ trzydziestodniowego terminu, wynikającego zgodnie  z art. 105a ust. 3 Prawa bankowego, liczy od dnia wysłania listem poleconym pisma skierowanego do Skarżącego wraz z dodaniem do powyższego terminu siedmiu dni na doręczenie korespondencji. Bank wskazał również, że zgoda Skarżącego na przetwarzanie danych przez A. po spłacie zobowiązania została wycofana z datą […] listopada 2020 r. (dowód: wyjaśnienia Banku z dnia […] lipca 2021 r., wyjaśnienia Banku z dnia […] kwietnia 2022 r. oraz wyjaśnienia A. z dnia […] października 2021 r. wraz z załącznikami).

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych, zwany dalej także Prezesem UODO zważył, co następuje.

W pierwszej kolejności należy wskazać, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny.

Co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank  w A. może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Wskazania wymaga, że przetwarzanie danych osobowych odbywa się w oparciu o umowę zawartą pomiędzy Bankiem i A.

Wskazać również należy że A. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (pkt 1), innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).

Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 – 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 3 Prawa bankowego banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Mając powyższe na uwadze, w pierwszej kolejności wskazać należy, że choć zobowiązanie Skarżącego wynikające z umowy o numerze […] zawartej dnia […] lutego 2018 r. wobec Banku wygasło z dniem […] lipca 2019 r., to jak wynika ze zgromadzonego materiału dowodowego odnośnie spłaty zadłużenia, Skarżący dopuścił się zwłoki trwającej dłużej niż 60 dni w przypadku wyżej wymienionego zobowiązania. Istotnym jednakże w niniejszej sprawie jest to, że Bank nie spełnił wobec niego obowiązku określonego w art. 105a ust. 3 Prawa bankowego, tj. nie poinformował go skutecznie o zamiarze przetwarzania dotyczących jego informacji stanowiących tajemnicę bankową, bez jego zgody, po wygaśnięciu zobowiązań wynikających z przedmiotowej umowy. Stwierdzić należy, że sam fakt, iż Skarżący nie wykonał zobowiązania lub spóźnił się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym osoba, której dane dotyczą dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec termin 30 dni. Termin 30 dni biegnie od momentu, w którym osoba, której dane dotyczą zostanie skutecznie poinformowana przez instytucję o zamiarze przetwarzania. Ostatecznie to bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z art. 105a ust. 3 Prawa bankowego. Wobec wysłania oświadczenia o wypowiedzeniu przedmiotowej umowy wraz z informacją o zamiarze przetwarzania danych Skarżącego na podstawie art. 105a ust. 3 Prawa bankowego listem poleconym, nie można ustalić daty zapoznania się przez Skarżącego z przesłaną do niego informacją, a tym samym niemożliwe jest ustalenie daty, od której płynie 30 dniowy termin określony w ww. przepisie.

Podkreślić należy, że stosownie do treści art. 105a ust. 3 Prawa bankowego należy ustalić datę, w której doszło do poinformowania osoby, której dane dotyczą, o zamiarze przetwarzania jej danych osobowych po wygaśnięciu zobowiązania, bez jej zgody, nie zaś datę, w której hipotetycznie osoba ta mogła zapoznać się z powyższą informacją. Natomiast Bank wyjaśnił, że datę doręczenia Skarżącemu przesyłki zawierającej powyższą informację ustalił dodając do daty, w której nadał korespondencję do Skarżącego, tj. […] września 2018 r., 7-dniowy termin, w którym jego zdaniem powinno nastąpić skuteczne doręczenie przesyłki. W ocenie organu powyższe jest sprzeczne z treścią art. 105a ust. 3 Prawa bankowego. Za niedopuszczalne należy uznać ustalanie daty, w której doszło do poinformowania o okolicznościach wskazanych w ww. przepisie prawa, w oparciu o przypuszczenie Banku, że we wskazanym przez niego terminie 7 dni mogło dojść do doręczenia informacji do Skarżącego, w oparciu o przypuszczenia. Podzielić w tym miejscu należy stanowisko wyrażone przez Naczelny Sąd Administracyjny, zgodnie z którym daty, będącej początkiem biegu 30-dniowego terminu wskazanego w art. 105a ust. 3 Prawa bankowego, nie można ustalać w oparciu o domniemania (por. wyrok Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 roku, w sprawie o sygn. akt I OSK 2514/17). Brak dowodu doręczenia Skarżącemu przedmiotowej przesyłki skutkuje więc niemożliwością ustalenia konkretnego terminu zapoznania się przez Skarżącego z treścią wskazanej informacji. Prezes Urzędu Ochrony Danych Osobowych podziela w tym zakresie stanowisko wyrażone w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 stycznia 2022 r. w sprawie o sygn. II Sa/Wa 3584/21, zgodnie z którym cyt.: „poinformowanie adresata oświadczenia winno, z uwagi na wspomniany powyżej dodatkowy trzydziestodniowy termin na wykonanie zobowiązania, nastąpić w ten sposób, by można było ustalić początek biegu tego terminu. Dopiero bowiem bezskuteczny upływ owego trzydziestodniowego dodatkowego terminu upoważnia Bank do przetwarzania danych osobowych w oparciu o przepis art. 105a ust. 3 Prawa bankowego. Nadanie powiadomienia, o którym mowa w art. 105a ust. 3 ustawy – Prawo bankowe, listem poleconym nie pozwala – w okolicznościach niniejszej sprawy – na ustalenie początku biegu wskazanego terminu. Skoro to Bank wywodzi skutki prawne z powiadomienia strony o zamiarze przetwarzania jej danych osobowych stanowiących tajemnicę bankową bez jej zgody, to musi wykazać, że bezskutecznie upłynęło 30 dni od daty poinformowania strony o tym zamiarze. Wykazanie tej okoliczności wymaga jednak – co oczywiste – wykazania początku biegu owego trzydziestodniowego terminu” (II SA/Wa 3584/21 - Wyrok WSA w Warszawie z 2022-01-18 (nsa.gov.pl)).

Z powyższego wynika zatem, iż Bank przetwarzając dane Skarżącego na warunkach określonych w ww. przepisie, musi wykazać, że Skarżący został poinformowany o zamiarze przetwarzania jego danych bez jego zgody. W niniejszej sprawie Skarżący podniósł natomiast,  że okoliczności wskazywane w art. 105a ust. 3 Prawa bankowego nie zostały spełnione w związku  z czym Bank nie był uprawniony do przekazania jego danych osobowych do A. Podkreślenia wymaga, że brak jest innych dowodów wskazujących na prawidłowe i skuteczne poinformowanie Skarżącego o treści art. 105a ust. 3 Prawa bankowego niż oświadczenie Banku, pozostające  w sprzeczności z twierdzeniami Skarżącego.

Bank nie przedstawił dowodu na prawidłowe doręczenie Skarżącemu dokumentu, w treści, którego zawarta była informacja o okolicznościach wskazanych w art. 105a ust. 3 Prawa bankowego, zatem okoliczność skutecznego poinformowania Skarżącego o treści art. 105a ust. 3 Prawa bankowego nie może zostać uznana za udowodnioną. Dodatkowo należy podkreślić,  że sporządzenie i wysłanie ww. pisma, nie jest równoznaczne z udowodnieniem jego prawidłowego doręczenia, skutkującego poinformowaniem Skarżącego o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jego zgody na podstawie art. 105a ust. 3 Prawa bankowego. Samo bowiem oświadczenie o przygotowaniu i wysłaniu korespondencji, czy też wydruk  z aplikacji, w której archiwizowane są dane o pismach skierowanych do klientów, nie stanowią dowodu na jej dostarczenie lub poinformowanie o jej treści adresata. W tym miejscu należy wskazać, że przepisy powszechnie obowiązujące nie formułują obowiązku wysłania informacji,  o której mowa w art. 105a ust. 3 Prawa bankowego w szczególnej formie. To do podmiotu informującego należy zatem wybór formy przekazania odbiorcy komunikatu, o zamiarze przetwarzania danych osobowych bez jego zgody. Jednocześnie to podmiot informujący wywodzi z powyższego skutki prawne, zatem to on musi wykazać, że poinformował Skarżącego o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jego zgody na podstawie art. 105a  ust. 3 Prawa bankowego.

Prezes Urzędu Ochrony Danych Osobowych podziela stanowisko Naczelnego Sądu Administracyjnego wyrażone w wyroku z dnia 7 sierpnia 2018 r. w sprawie o sygn. I OSK 2123/16, zgodnie z którym cyt.: „literalne odczytanie art. 105a ust. 3 Prawa bankowego może wskazywać na to, że ustawodawca nie stworzył w tym zakresie żadnych szczególnych wymogów formalnych co do sposobu i treści takiego poinformowania klienta lub byłego klienta banku. Prawidłowa wykładnia tego przepisu nie może jednak oznaczać całkowitej dowolności w tym zakresie. Przede wszystkim należy zwrócić uwagę na materialny (ochronny), a nie formalny charakter tego przepisu. Wymaga on w sposób kategoryczny "poinformowania", a nie "wysłania zawiadomienia"” (Legalis nr 1814483).

Podzielając powyższe rozważania raz jeszcze podkreślić należy, że w niniejszej sprawie nie zostały spełnione przesłanki z art. 105a ust 3 Prawa bankowego, zgodnie z którym Bank może przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy bez ich zgody w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Prezes Urzędu Ochrony Danych Osobowych, w toku prowadzonego postępowania administracyjnego, również nie stwierdził okoliczności uprawniających Bank do przetwarzania danych osobowych Skarżącego w oparciu o ww. podstawę prawną w powyższym celu.

Odnosząc się do żądania Skarżącego w przedmiocie nakazania usunięcia jego danych osobowych przetwarzanych w bazie Banku, a dotyczących umowy kredytu na zakup towarów  i usług o numerze […] zawartej przez niego w dniu […] lutego 2018 r., zauważyć ponadto należy, że Bank wskazał, że przetwarza ww. dane osobowe na podstawie prawnie uzasadnionego interesu, czyli na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 Kodeksu cywilnego w celu obrony przed ewentualnymi roszczeniami. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał jednakże, aby Skarżący wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Banku do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez Skarżącego tego roszczenia. W ocenie Prezesa Urzędu Ochrony Danych Osobowych, brak jest zatem spełnienia wskazywanej przez Bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych Skarżącego. Przesłanka z art. 6 ust 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W związku z tym, że przeprowadzone przez Prezesa Urzędu Ochrony Danych Osobowych postępowanie administracyjne nie wykazało, aby Skarżący skierował wobec Banku jakiekolwiek roszczenie, należy stwierdzić, iż Bank przetwarza dane osobowe Skarżącego w ww. celu wyłącznie „na zapas”, aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami Skarżącego. Prezes Urzędu Ochrony Danych Osobowych podziela ponadto stanowisko Naczelnego Sądu Administracyjnego w Warszawie, wyrażone w wyroku z dnia 6 marca 2019 r. (sygn. I OSK 994/17), w którym NSA stwierdził: „zdaniem Naczelnego Sądu Administracyjnego przetwarzanie danych osobowych W. L., który cofnął zgodę na ich przetwarzanie, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez E. S.A., a którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych W. L. (…) Prawidłowe jest stanowisko Sądu pierwszej instancji, że niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości.”

Podkreślenia wymaga, że przy przyjęciu odmiennej interpretacji ww. przepisów, Skarżący pozbawiony byłyby ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Zaznaczyć bowiem należy, że przyjęcie  za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Skarżącego mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by Skarżący zwrócił się do Banku z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych Skarżącego przez Bank ma uzasadnienie  w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem Skarżącego również po upływie ww. terminu.

W tym miejscu wskazać należy, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank. Koniecznym jest by podnieść, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Podkreślenia wymaga, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.

Z uwagi na to, że Bank nie wskazał roszczenia, którego zaspokojenia domaga się od Skarżącego, jak również brak jest sporu toczącego się miedzy Skarżącym a Bankiem dotyczącego stosunku zobowiązaniowego, w ocenie Prezesa Urzędu Ochrony Danych Osobowych brak jest celu uzasadniającego przetwarzanie ww. danych osobowych Skarżącego, w rozumieniu art. 6 ust. 1 lit. f RODO. Wobec powyższego, kontynuowanie do chwili obecnej przetwarzania danych osobowych Skarżących w celu ustalenia, dochodzenia lub obrony przed ewentualnymi, przyszłymi  i niepewnymi roszczeniami, należy uznać za zbędne i niezgodne z obowiązującymi przepisami  o ochronie danych osobowych. W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych nakazał Bankowi zaprzestanie przetwarzania danych osobowych Skarżącego  dot. umowy z dnia […] lutego 2018 r.

W tym miejscu wskazać należy, że postępowanie administracyjne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych. Wobec powyższego korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, Prezes Urzędu Ochrony Danych Osobowych nakazał Bankowi zaprzestanie przetwarzania na podstawie art. 105a ust. 3 Prawa bankowego danych osobowych Skarżącego dotyczących umowy kredytowej  o numerze […] zawartej dnia […] lutego 2018 r., przetwarzanych w A. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, jak również nakazał Bankowi zaprzestanie przetwarzania danych osobowych Skarżącego dotyczących przedmiotowej umowy kredytowej  w systemach Banku, z uwagi na to, że Bank przetwarza je obecnie w celu ustalenia, dochodzenia lub obrony przed ewentualnymi, przyszłymi i niepewnymi roszczeniami.

W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.