Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c  Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) w zw. z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896), po przeprowadzeniu postępowania administracyjnego w sprawie skargi  Pana X, zam. w Y  przy ul. (…), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez B Bank S.A., z siedzibą w A, przy ul. (…), polegające na przetwarzaniu danych osobowych Skarżącego bez podstawy prawnej oraz  ich udostępnieniu do C S.A., z siedzibą w D, przy ul. (…), bez podstawy prawnej, Prezes Urzędu Ochrony Danych Osobowych

nakazuje B Bank S.A., z siedzibą w A przy ul. (…), usunięcie danych osobowych Pana X, zam. w Y  przy ul. (…), w związku z umową nr (…) z dnia (…) kwietnia 2015 r., w systemie C S.A., z siedzibą w D, przy ul. (…), przetwarzanych na podstawie art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w celu ochrony przed ewentualnymi roszczeniami.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana X, zam. w Y  przy ul. (…), zwanego dalej Skarżącym, na nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego przez B Bank S.A., z siedzibą we C, przy ul. (…), zwaną dalej Bankiem, polegające na przetwarzaniu danych osobowych Skarżącego bez podstawy prawnej oraz ich udostępnieniu do C S.A., z siedzibą w D, przy ul. (…), bez podstawy prawnej.

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.

1. Skarżący w treści skargi wskazał, że mimo ustania jego relacji z Bankiem po całkowitej spłacie zobowiązania Bank nadal przetwarza jego dane osobowe bez podstawy prawnej oraz udostępnia je w zewnętrznej bazie C mimo, iż wycofał on swoją zgodę na jakiekolwiek działania.  W ocenie Skarżącego Bank nie spełnił wymagań uprawniających go do rozpoczęcia przetwarzania jego danych osobowych w bazie C w związku z wierzytelnością wynikającą z umowy nr (…) z dnia (…) kwietnia 2015 r., ponieważ Bank nie spełnił łącznie wszystkich warunków wynikających z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896), zwanej dalej Prawem bankowym, tj. Bank nie dysponuje dowodami na potwierdzenie poinformowania Skarżącego o zamiarze przetwarzania jego danych osobowych w bazie C. W związku z powyższym Skarżący żąda nakazania Bankowi zaprzestania przetwarzania jego   danych osobowych przez Bank oraz w  bazie C dot. ww. umowy. Wobec powyższego Skarżący wniósł o usunięcie jego danych osobowych (dowód: pismo Skarżącego z dnia (…) stycznia 2021 r. wraz z załącznikami oraz pismo Skarżącego z dnia (…) lutego 2021r.).
2. Skarżący w kierowanej do Banku korespondencji tj. pismem z dnia (…) sierpnia  2020 r., (…) listopada 2020 r. wycofała zgodę na przetwarzanie jego danych przez Bank w bazie C w celu oceny zdolności kredytowej i analizy ryzyka, jednocześnie wycofując swoją zgodę na przetwarzanie jego danych osobowych przez Bank. W odpowiedzi Skarżącemu Bank pismem z dnia (…) października 2020 r. i (…) grudnia 2020 r.,  wskazał, że z uwagi na zaistniałe przesłanki wynikające z art. 105a ust. 3 Prawa bankowego Bank może przetwarzać dane osobowe Skarżącego w bazie C bez jej zgody (dowód: pismo Skarżącego z dnia (…) stycznia 2021 r. wraz z załącznikami oraz pismo Skarżącego z dnia (…) lutego 2021r.). Bank wskazał, że dane osobowe Skarżącego zostały pozyskane w wyniku zawarcia ze Skarżącym umowy nr (…) z dnia (…) kwietnia 2015 r. w celu jej realizacji, spełnienia obowiązków prawnych ciążących na Banku oraz realizacji prawnie uzasadnionych interesów polegających na dochodzeniu lub obronie roszczeń. Podstawą legalizującą przetwarzanie danych Skarżącego był w szczególności art. 23 ust. 1 pkt 2, 3 i 5 ustawy z dnia 29 sierpnia 1997 r o ochronie danych osobowych. Bank pozyskał dane osobowe Skarżącego w zakresie: dane identyfikacyjne, dane adresowe, dane teleadresowe oraz informacje finansowe (dowód: pismo Banku z dnia (…) marca 2021 r. wraz z załącznikami).
3. Bank wyjaśnił, że aktualnie przetwarza dane osobowe Skarżącego pozyskane w wyniku zawarcia umowy nr (…) z dnia (…) kwietnia 2015 r. na podstawie art. 105a ust. 3 Prawa bankowego oraz na podstawie art. 6 ust. 1 lit. f RODO do celów obrony przed ewentualnymi roszczeniami  do czasu ich przedawnienia (dowód: pismo Banku z dnia (...) marca 2021 r. wraz z załącznikami).
4. Bank wskazał, że zawarł z C umowę powierzenia przetwarzania danych osobowych, na podstawie której C przetwarza dane osobowe klientów Banku, przekazane przez Bank. Dane Skarżącego oraz dane dotyczące ww. umowy zostały po raz pierwszy przekazane do C w dniu (…) kwietnia 2015 r. na podstawie art. 105 ust. 4 Prawa bankowego, umowa została zamknięta w C z datą (…) czerwca 2020 r.  (dowód: pismo Banku z dnia (…) marca 2021 r. wraz z załącznikami).
5. Bank wskazał, że przetwarza dane osobowe Skarżącego na podstawie art. 105a ust. 3 Prawa Bankowego w związku z ww. umową z uwagi na spełnienie warunków, o których mowa w art. 105a ust. 3 Prawa bankowego. W związku ze zwłoką w spełnieniu świadczenia powyżej 60 dni, Skarżącemu zostały wysłane oświadczenia o wypowiedzeniu umowy wraz z informacją o zamiarze przetwarzania jego danych na podstawie art. 105a ust. 3 Prawa bankowego (OWU z klauzulą wysłane: (…) listopada 2015 r.). Bank wskazał, że z uwagi na rozpoczęcie przetwarzania danych na podstawie art. 105a ust.3 Prawa bankowego z chwilą zamknięcia umów w C, upłynęło co najmniej 30 dni od poinformowania Skarżącego przez Bank o zamiarze przetwarzania jego danych na podstawie art. 105a ust. 3 Prawa bankowego (dowód: …). (dowód: pismo Banku z dnia (…) maja 2021 r.)
6. Bank wskazał, że otrzymał od Skarżącego wniosek datowany na dzień (…) sierpnia 2020 r. i zrealizował żądanie Skarżącego tj. wycofał zgody Skarżącego na przetwarzanie jego historii kredytowej oraz wycofał zgodę w C (zgoda wycofana z datą (…) września 2020 r.) oraz usunął zapytania kredytowe z dnia (…) lutego 2020 r., (…) kwietnia 2015 r., o czym poinformował Skarżącego w skierowanej do niego  odpowiedzi z dnia (…) października 2020 r. o realizacji powyższego oraz sankcyjności umowy  (dowód: pismo Banku z dnia (…) marca 2021 r. wraz z załącznikami).
7. Bank wskazał, że wysłał do Skarżącego oświadczenie o wypowiedzeniu umowy nr (…) z dnia (…) kwietnia 2015 r. w dniu (…) listopada 2015 r. wraz z informacją o zamiarze przetwarzania jego danych na podstawie art. 105a ust. 3 Prawa bankowego bez jego zgody (dowód: pismo Banku z dnia (…) maja 2021 r. wraz z załącznikami).
8. Bank wskazał, że nie wniósł roszczeń względem Skarżącego, a Skarżący nie wystąpił z oficjalnym roszczeniem względem Banku (dowód: pismo Banku z dnia (…) maja 2021 r.)
9. C wskazał, że aktualnie przetwarza dane osobowe Skarżącego w zakresie danych przekazanych przez Bank dot. umowy z dnia (…) kwietnia 2015 r.  Dane dotyczące ww. umowy zostały przekazane do C przez Bank na podstawie art. 105 ust 4, art.  105a ust. 1 Prawa bankowego i na podstawie łączącej ww. strony umowy. Ww. rachunek ma status rachunku zamkniętego odzyskanego i przetwarzany jest w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, na podstawie art. 105a ust. 3 Prawa bankowego w zw. z art. 105 ust. 4 Prawa bankowego (dowód: pismo C z dnia (…) kwietnia 2021 r.).

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W pierwszej kolejności wskazać należy, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych  w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),  ( Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwane dalej RODO, określa legalność przetwarzania danych osobowych. Każda z przesłanek z art. 6 ust. 1 RODO ma charakter autonomiczny  i niezależny, co oznacza, że spełnienie jednej z nich stanowi w danym przypadku o zgodności z prawem przetwarzania danych osobowych. Podkreślić zatem należy także, że zgoda osoby, której dane dotyczą nie jest jedyną podstawą uprawniającą do przetwarzania jej danych osobowych (lit. a). Proces przetwarzania danych będzie zgodny z przepisami ustawy również wtedy, gdy administrator danych wykaże spełnienie choćby jednej przesłanki  z wspomnianego art. 6 ust. 1 RODO, w tym, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (lit. f).

Co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank w C jest obecnie art. 6 ust. 1 f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Wskazania ponadto wymaga, że przetwarzanie danych osobowych klientów Banku przez C odbywa się zgodnie z art. 28 ust. 3 RODO, tj. na podstawie zawartej z Bankiem będącym administratorem umowy powierzenia przetwarzania danych osobowych.

Wskazać należy że C jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja  2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).

Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 – 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 3 Prawa bankowego banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja  2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Mając powyższe na uwadze wskazać należy, że choć zobowiązanie Skarżącego, wynikające z umowy o kredyt na zakup towarów i usług nr (…) z dnia (…) kwietnia 2015 r. wobec Banku wygasło, to jak wynika ze zgromadzonego materiału dowodowego  odnośnie spłaty zadłużenia, Skarżący dopuścił się zwłoki trwającej dłużej niż 60 dni w przypadku ww. zobowiązania. Istotnym jednakże w niniejszej sprawie jest to, że Bank nie spełnił wobec niego obowiązku określonego w art. 105a pkt 3 Prawa bankowego, tj. nie poinformował go skutecznie o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnicę bankową, bez jego zgody po wygaśnięciu zobowiązania wynikającego z przedmiotowej umowy. Stwierdzić należy, że sam fakt, iż Skarżący nie wykonał zobowiązania lub spóźniła się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym osoba, której informacje dotyczą dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec termin 30 dni, w którym instytucja oczekuje jeszcze na wykonanie zobowiązania klienta. Termin 30 dni biegnie od momentu, w którym osoba, której informacje dotyczą zostanie skutecznie poinformowany przez instytucję o zamiarze przetwarzania. Ostatecznie to bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z art. 105a ust. 3 Prawa bankowego. Z powyższego wynika zatem, iż Bank przetwarzając dane Skarżącego na warunkach określonych w ww. przepisie, musi wykazać, że Skarżący została poinformowany o zamiarze przetwarzania ich bez jego zgody. W niniejszej sprawie Skarżący podniósł natomiast, że okoliczności wskazywane w art. 105a ust. 3 Prawa bankowego nie zostały spełnione w związku z czym Bank nie jest uprawniony do przetwarzania jego danych osobowych w C. Bank podniósł natomiast, że ww. przesłanki, w tym poinformowanie Skarżącego o okolicznościach wskazanych w art. 105a ust. 3 Prawa bankowego zostały spełnione. Podkreślenia wymaga, że brak jest innych dowodów wskazujących na prawidłowe i skuteczne poinformowanie Skarżącego o treści 105a ust. 3 Prawa bankowego niż oświadczenie Banku, pozostającego w sprzeczności z twierdzeniami Skarżącego.

Bank nie przedstawił dowodu na prawidłowe doręczenie Skarżącemu dokumentu, w treści, którego zawarta była informacja o okolicznościach wskazanych w art. 105a ust. 3 Prawa bankowego, zatem okoliczność skutecznego poinformowania Skarżącego o treści art. 105a ust. 3 Prawa bankowego nie może zostać uznana za udowodnioną. Dodatkowo należy podkreślić, że sporządzenie i wysłanie ww. pisma, nie jest równoznaczne z udowodnieniem jego prawidłowego doręczenia, skutkującego poinformowaniem Skarżącego o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jej zgody na podstawie art. 105a ust. 3 Prawa bankowego. Samo bowiem oświadczenie o wysłaniu korespondencji i przedstawienie jej kopii nie stanowi dowodu na jej dostarczenie lub poinformowanie o jej treści adresata. W tym miejscu należy wskazać, że przepisy powszechnie obowiązujące nie formułują obowiązku wysłania informacji, o której mowa w art. 105a ust. 3 Prawa bankowego w szczególnej formie. To do podmiotu informującego należy zatem wybór formy przekazania odbiorcy komunikatu, o zamiarze przetwarzania danych osobowych bez jego zgody. Jednocześnie to podmiot informujący wywodzi z powyższego skutki prawne, zatem to on musi wykazać, że poinformował Skarżącego o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jego zgody na podstawie art. 105a ust. 3 Prawa bankowego.

Powyższe stanowisko organu znajduje oparcie w wyroku Wojewódzkiego Sądu Administracyjnego z dnia 15 marca 2017 r., sygn. akt II SA/Wa 1695/16, zgodnie z którym cyt.: „ (…) samo potwierdzenie komputerowe w prawym górnym rogu pism "PRZESYŁKA NIESTEMPLOWANA, Data nadania 2015 - 08 - 07", nie stanowi potwierdzenia wysłania pism. Także zrzut ekranu komputerowego ww. aplikacji, z uwagi na "zakodowany" system zgromadzonych tam danych, bez głębszej analizy specjalistycznej (z zakresu informatyki), nie przedstawia wiarygodnego dowodu, iż poza wygenerowaniem przedmiotowych pism w istocie doszło do ich wysłania skarżącej. (…) Słuszne jest wprawdzie twierdzenie, że żaden przepis ustawy Prawo bankowe nie wymaga aby obowiązek informacyjny, o którym mowa w art. 105a ust. 3 tej ustawy, był realizowany przy pomocy przesyłek rejestrowanych - listów poleconych. Podkreślić jednak należy, iż w przypadku sporu ciężar dowodu doręczenia pisma spoczywa na stronie spełniającej obowiązek informacyjny. (…) Wprawdzie w toku postępowania administracyjnego organ orzekający ocenił przedstawione przez Bank dokumenty, ale nie wynika z nich realizacja przez Bank (...) w stosunku do skarżącej obowiązku informacyjnego (wysłania, a nie tylko wygenerowania pism)”. Jeśli więc oświadczenie zostało posłane adresatowi listem albo innym sposobem porozumiewania się na odległość, składający powinien wykazać np. za pomocą zwrotnego poświadczenia odbioru, że list (telegram) został adresatowi doręczony. Powstały dowód nadania listu poleconego nie jest wprawdzie dowodem doręczenia go adresatowi.

W zakresie przetwarzania danych osobowych Skarżącego w celu obrony przed ewentualnymi roszczeniami Prezes Urzędu Ochrony Danych Osobowych podziela ponadto stanowisko Naczelnego Sądu Administracyjnego odnoszące się do analogicznej do art. 6 ust. 1 lit. f  RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z dnia 6 marca 2019 r. w sprawie sygn. I OSK 994/17 (LEX nr 2670498) orzekł, cyt.: „Przepis art. 23 ust. 1 pkt 5 u.o.d.o. zezwala na przetwarzanie danych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu należy zatem zwrócić uwagę, że stosowanie ww. przepisu wymaga wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów osoby, której danych sprawa dotyczy, a która jest objęta ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. Naczelny Sąd Administracyjny w wyroku z dnia 23 września 2005 r. (sygn. akt I OSK 712/05,CBOSA) już wskazywał, że rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron w tym praw podstawowych. (…) niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości.”.

Wskazać należy, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby Skarżący wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Banku do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez Skarżącego roszczenia. W ocenie Prezesa UODO, brak jest zatem spełnienia wskazywanej przez Bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych Skarżącego. Przesłanka z art. 6 ust 1 lit. f) RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

Podkreślenia wymaga, że przy przyjęciu odmiennej interpretacji ww. przepisów, Skarżący pozbawiony byłby ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Zaznaczyć bowiem należy, że przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f) RODO oznaczałoby, że dane osobowe Skarżącego mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by Skarżący zwróciła się do Banku z roszczeniem po upływie terminu jego przedawnienia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych Skarżącego przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f) RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem Skarżącego również po upływie ww. terminu.

Podzielając powyższe rozważania raz jeszcze podkreślić należy, że w niniejszej sprawie nie zostały spełnione przesłanki z art. 105a ust 3 Prawa bankowego, zgodnie z którym Bank może przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy bez ich zgody w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, jak również brak jest sporu toczącego się pomiędzy Skarżącym a Bankiem, w ocenie Prezesa Urzędu Ochrony Danych Osobowych brak jest celu uzasadniającego przetwarzanie ww. danych osobowych Skarżącego, w oparciu o ww. podstawę prawną w powyższych celach. Dlatego też korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, Prezes Urzędu Ochrony Danych Osobowych nakazał Bankowi usunięcie danych osobowych Skarżącego przetwarzanych na podstawie art. 105a ust. 3 Prawa bankowego w C w celu oceny zdolności kredytowej i analizy ryzyka kredytowego oraz usunięcie danych osobowych Skarżącego przetwarzanych w związku z umową nr (…) z dnia (…) kwietnia 2015 r. w celu obrony przed ewentualnymi roszczeniami Skarżącego.

W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.