Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c  Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.  w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) w zw. z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896), po przeprowadzeniu postępowania administracyjnego w sprawie skargi  Pani X. Y., na nieprawidłowości w procesie przetwarzania jej danych osobowych przez S. S.A., polegające na przetwarzaniu danych osobowych Skarżącej bez podstawy prawnej, udostępnieniu ich do B. S.A., bez podstawy prawnej oraz niespełnieniu żądania sunięcia danych osobowych Skarżącej, Prezes Urzędu Ochrony Danych Osobowych

1.     nakazuje S. S.A., zaprzestania przetwarzania danych osobowych Pani X. Y., dotyczących umów nr […] z dnia […] grudnia 2015 r. oraz nr […] z dnia […] kwietnia 2016 r., w systemie B. S.A., przetwarzanych na podstawie art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego;

2.     nakazuje S. S.A., zaprzestania przetwarzania danych osobowych Pani X. Y., dotyczących umów nr […] z dnia […] grudnia 2015 r. oraz nr […] z dnia  […] kwietnia 2016 r. przetwarzanych w celu obrony przed ewentualnymi roszczeniami.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani X. Y., zwanej dalej Skarżącą, na nieprawidłowości w procesie przetwarzania danych osobowych Skarżącej przez S. S.A., zwaną dalej Bankiem, polegające na przetwarzaniu danych osobowych Skarżącego bez podstawy prawnej, udostępnieniu ich do B. S.A., zwaną dalej B., bez podstawy prawnej oraz niespełnieniu żądania sunięcia danych osobowych Skarżącej.

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.

1. Skarżąca w treści skargi wskazał, że mimo ustania jej relacji z Bankiem po całkowitej spłacie zobowiązania Bank nadal przetwarza jej dane osobowe bez podstawy prawnej oraz udostępnia je w zewnętrznej bazie B. Skarżąca podkreśliła w skardze, że nie jest oraz nie chce być klientem Banku. W ocenie Skarżącej Bank nie spełnił wymagań uprawniających go do rozpoczęcia przetwarzania jej danych osobowych w bazie B. w związku z wierzytelnościami wynikającymi z umów nr […] z dnia […] grudnia 2015 r. oraz nr […] z dnia […] kwietnia 2016 r., ponieważ Bank nie spełnił łącznie wszystkich warunków z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896), zwanej dalej Prawem bankowym, tj. Bank nie dysponuje dowodami na potwierdzenie poinformowania Skarżącej o zamiarze przetwarzania jej danych osobowych w bazie B. W związku z powyższym Skarżąca żąda nakazania Bankowi zaprzestania przetwarzania jej danych osobowych przez Bank oraz w  bazie B. dot. ww. umów (dowód: pismo Skarżącej z dnia […] października 2020 r. wraz  z załącznikami).
2. Skarżąca w kierowanej do Banku korespondencji tj. pismem z dnia […] lutego 2020 r., […] kwietnia 2020 r., […] czerwca 2020 r., […] czerwca 2020 r., […] października 2020 r. wycofała zgodę na przetwarzanie jej danych przez Bank w bazie B. w celu oceny zdolności kredytowej i analizy ryzyka, jednocześnie wycofując swoją zgodę na przetwarzanie jej danych osobowych przez Bank. W odpowiedzi Skarżącej Bank pismem z dnia […] marca 2020 r. i […] października 2020 r.,  wskazał, że z uwagi na zaistniałe przesłanki wynikające z art. 105a ust. 3 Prawa bankowego Bank może przetwarzać dane osobowe Skarżącej w bazie B. bez jej zgody (dowód: pismo Skarżącej z dnia […] października 2020 r. wraz  z załącznikami).
3. Bank wskazał, że dane osobowe Skarżącej zostały pozyskane w wyniku zawarcia ze Skarżącą umowy o kredyt na zakup towarów i usług nr […] z dnia […] grudnia 2015 r. oraz umowy o przyznanie limitu kredytowego i wydania karty […] nr […] z dnia […] kwietnia 2016 r. w celu zawarcia i realizacji ww. Umów, spełnienia obowiązków prawnych ciążących na Banku oraz realizacji prawnie uzasadnionych interesów polegających na dochodzeniu lub obronie roszczeń. Podstawą legalizującą przetwarzanie danych Skarżącego był  w szczególności art. 23 ust. 1 pkt 3 i 5 ustawy z dnia 29 sierpnia 1997 r o ochronie danych osobowych. Bank pozyskał dane osobowe Skarżącej w zakresie: dane identyfikacyjne, dane adresowe, dane teleadresowe oraz dane finansowe Skarżącej (dowód: pismo Banku z dnia […] grudnia 2020 r. wraz z załącznikami).
4. Bank aktualnie przetwarza dane Skarżącej pozyskane w wyniku zawarcia umów nr […] z dnia […] grudnia 2015 r. oraz nr […] z dnia  […] kwietnia 2016 r. na podstawie art. 105a ust. 3 Prawa bankowego oraz na podstawie art. 6 ust. 1 lit. f RODO do celów obrony przed ewentualnymi roszczeniami (dowód: pismo Banku z dnia […] grudnia 2020 r. wraz  z załącznikami oraz pismo Banku z dnia […] maja 2021 r. wraz z załącznikami).
5. Bank zawarł z B. umowę powierzenia przetwarzania danych osobowych, na podstawie której B. przetwarza dane osobowe klientów Banku, przekazane przez Bank. Ponadto Bank wskazał, że Skarżąca wyraziła zgody na przetwarzanie przez B. i udostępnienie instytucjom finansowym przekazanych przez Bank informacji o zobowiązaniach powstałych z tytułu umów nr […] z dnia […] grudnia 2015 r. oraz nr […] z dnia […] kwietnia 2016 r. przez okres nie dłuższy niż pięć lat od dnia wygaśnięcia zobowiązania. (dowód: pismo Banku z dnia […] grudnia 2020 r. wraz z załącznikami).
6. Bank wyjaśnił, że dane osobowe Skarżącej zostały przekazane do B. na podstawie przepisów ustawy Prawa bankowego. Obecne przetwarzanie danych osobowych Skarżącej w B. związane jest z przetwarzaniem danych, o którym mowa w art. 105a ust. 3 Prawa bankowego (dowód: pismo Banku z dnia  […] grudnia 2020 r. wraz z załącznikami).
7. Bank wskazał, że wysłał do Skarżącej list z wypowiedzeniem umowy  nr […] z dnia […] grudnia 2015 r. w dniu […] grudnia 2016 r.  o nr […], nadany w dniu […] grudnia 2016 r., umowy  nr […] z dnia […] kwietnia 2016 r. z dnia […] października 2016 r.  o numerze […] nadany w dniu […] października 2016 r. wraz z informacją o zamiarze przetwarzaniu danych bez jej zgody listem poleconym (dowód: pismo Banku z dnia […] grudnia 2020 r. wraz z załącznikami).
8. Bank wskazał, że w dniu […] stycznia 2019 r. Skarżąca złożyła wniosek  o wycofanie zgody na przetwarzanie danych osobowych przez Bank w celach marketingowych, oceny zdolności kredytowej, ryzyka kredytowego oraz zgodę na przetwarzanie danych przez B. po wygaśnięciu zobowiązań w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. W odpowiedzi Bank poinformował Skarżącą, że została wycofana zgoda na przetwarzanie danych  w celach marketingowych oraz w celu oceny zdolności kredytowej, jak również poinformował Skarżącą o przetwarzaniu jej danych na podstawie art. 105a ust. 3 Prawa bankowego. Następnie pismem z dnia […] lutego 2020 r. Skarżąca m.in. wskazała, że nie otrzymała pisma informującego o zamiarze przetwarzania jej danych bez zgody. Bank w odpowiedzi poinformował Skarżącą o wysłaniu do niej listów z tą informacją, jak również o braku zwrotu wysłanej korespondencji. Pismem z dnia […] kwietnia 2020 r. Skarżąca ponowiła swój wniosek. Bank powtórnie poinformował Skarżącą o spełnieniu przesłanek uprawniających do sankcyjnego przetwarzania danych Skarżącej. W kolejnych pismach Skarżąca po raz kolejny składała wnioski z tożsamym żądaniem. Odpowiedź Banku pozostała niezmienna (dowód: pismo Banku z dnia […] grudnia 2020 r. wraz z załącznikami).
9. Bank wskazał, że Skarżąca nie wnosiła względem Banku żadnych roszczeń, za wyjątkiem żądania zaprzestania przetwarzania jej danych osobowych  w B. oraz Bank nie wnosił i nie kieruje względem Skarżącej roszczeń (dowód: pismo Banku z dnia […] sierpnia 2021 r.)
10. B. wskazał, że aktualnie przetwarza dane osobowe Skarżącej w zakresie danych przekazanych przez Bank dot. umowy o kredyt na zakup towarów i usług  nr […] z dnia […] grudnia 2015 r. oraz umowy o przyznanie limitu kredytowego i wydania karty […] nr […] z dnia […] kwietnia  2016 r  Dane dotyczące ww. umów zostały przekazane do B. przez Bank na podstawie art. 105 ust 4 Prawa bankowego i na podstawie łączącej strony umowy. Ww. rachunki mają status rachunków odzyskanych i przetwarzane są w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, na podstawie art. 105a ust. 3 Prawa bankowego w zw. z art. 105 ust. 4 Prawa bankowego (dowód: pismo B. z dnia 21 czerwca 2021 r.).

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W pierwszej kolejności wskazać należy, że rozporządzenie Parlamentu Europejskiego  i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych  w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),  ( Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwane dalej RODO, określa legalność przetwarzania danych osobowych. Każda z przesłanek z art. 6 ust. 1 RODO ma charakter autonomiczny  i niezależny, co oznacza, że spełnienie jednej z nich stanowi w danym przypadku o zgodności  z prawem przetwarzania danych osobowych. Podkreślić zatem należy także, że zgoda osoby, której dane dotyczą nie jest jedyną podstawą uprawniającą do przetwarzania jej danych osobowych (lit. a). Proces przetwarzania danych będzie zgodny z przepisami ustawy również wtedy, gdy administrator danych wykaże spełnienie choćby jednej przesłanki  z wspomnianego art. 6 ust. 1 RODO, w tym, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (lit. f).

Co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank w B. jest obecnie art. 6 ust. 1 f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Wskazania ponadto wymaga, że przetwarzanie danych osobowych klientów Banku przez B. odbywa się zgodnie  z art. 28 ust. 3 RODO, tj. na podstawie zawartej z Bankiem będącym administratorem umowy powierzenia przetwarzania danych osobowych.

Wskazać należy że B. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja  2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).

Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 – 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 3 Prawa bankowego banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja  2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Mając powyższe na uwadze wskazać należy, że choć zobowiązanie Skarżącej, wynikające z umowy o kredyt na zakup towarów i usług nr […] z dnia […] grudnia 2015 r. oraz umowy o przyznanie limitu kredytowego i wydania karty […] nr […] z dnia […] kwietnia 2016 r. wobec Banku wygasło, to jak wynika ze zgromadzonego materiału dowodowego odnośnie spłaty zadłużenia, Skarżąca dopuściła się zwłoki trwającej dłużej niż  60 dni w przypadku ww. zobowiązania. Istotnym jednakże w niniejszej sprawie jest to, że Bank nie spełnił wobec niej obowiązku określonego w art. 105a pkt 3 Prawa bankowego, tj. nie poinformował ją skutecznie o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody po wygaśnięciu zobowiązania wynikającego z przedmiotowej umowy. Stwierdzić należy, że sam fakt, iż Skarżąca nie wykonała zobowiązania lub spóźniła się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jej danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym konsument dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec termin 30 dni, w którym instytucja oczekuje jeszcze na wykonanie zobowiązania klienta. Termin 30 dni biegnie od momentu, w którym konsument zostanie skutecznie poinformowany przez instytucję o zamiarze przetwarzania. Ostatecznie to bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z art. 105a ust. 3 Prawa bankowego. Z powyższego wynika zatem, iż Bank przetwarzając dane Skarżącej na warunkach określonych w ww. przepisie, musi wykazać, że Skarżąca została poinformowana o zamiarze przetwarzania ich bez jej zgody. W niniejszej sprawie Skarżąca podniosła natomiast, że okoliczności wskazywane w art. 105a ust. 3 Prawa bankowego nie zostały spełnione w związku z czym Bank nie jest uprawniony do przetwarzania jej danych osobowych w B. Bank podniósł natomiast,  że ww. przesłanki, w tym poinformowanie Skarżącej o okolicznościach wskazanych w art. 105a ust. 3 Prawa bankowego zostały spełnione. Podkreślenia wymaga, że brak jest innych dowodów wskazujących na prawidłowe i skuteczne poinformowanie Skarżącej o treści 105a ust. 3 Prawa bankowego niż oświadczenie Banku, pozostającego w sprzeczności z twierdzeniami Skarżącej.

Bank nie przedstawił dowodu na prawidłowe doręczenie Skarżącej dokumentu, w treści, którego zawarta była informacja o okolicznościach wskazanych w art. 105a ust. 3 Prawa bankowego, zatem okoliczność skutecznego poinformowania Skarżącej o treści  art. 105a ust. 3 Prawa bankowego nie może zostać uznana za udowodnioną. Dodatkowo należy podkreślić, że sporządzenie i wysłanie ww. pisma, nie jest równoznaczne z udowodnieniem jego prawidłowego doręczenia, skutkującego poinformowaniem Skarżącej o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jej zgody na podstawie art. 105a ust. 3 Prawa bankowego. Samo bowiem oświadczenie o wysłaniu korespondencji i przedstawienie jej kopii nie stanowi dowodu na jej dostarczenie lub poinformowanie o jej treści adresata. W tym miejscu należy wskazać, że przepisy powszechnie obowiązujące nie formułują obowiązku wysłania informacji, o której mowa w art. 105a ust. 3 Prawa bankowego w szczególnej formie.  To do podmiotu informującego należy zatem wybór formy przekazania odbiorcy komunikatu,  o zamiarze przetwarzania danych osobowych bez jej zgody. Jednocześnie to podmiot informujący wywodzi z powyższego skutki prawne, zatem to on musi wykazać, że poinformował Skarżącą o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jej zgody na podstawie art. 105a ust. 3 Prawa bankowego.

Powyższe stanowisko organu znajduje oparcie w wyroku Wojewódzkiego Sądu Administracyjnego z dnia 15 marca 2017 r., sygn. akt II SA/Wa 1695/16, zgodnie z którym cyt.: „ (…) samo potwierdzenie komputerowe w prawym górnym rogu pism "PRZESYŁKA NIESTEMPLOWANA, Data nadania 2015 - 08 - 07", nie stanowi potwierdzenia wysłania pism. Także zrzut ekranu komputerowego ww. aplikacji, z uwagi na "zakodowany" system zgromadzonych tam danych, bez głębszej analizy specjalistycznej (z zakresu informatyki), nie przedstawia wiarygodnego dowodu, iż poza wygenerowaniem przedmiotowych pism w istocie doszło do ich wysłania skarżącej. (…) Słuszne jest wprawdzie twierdzenie, że żaden przepis ustawy Prawo bankowe nie wymaga aby obowiązek informacyjny, o którym mowa  w art. 105a ust. 3 tej ustawy, był realizowany przy pomocy przesyłek rejestrowanych - listów poleconych. Podkreślić jednak należy, iż w przypadku sporu ciężar dowodu doręczenia pisma spoczywa na stronie spełniającej obowiązek informacyjny. (…) Wprawdzie w toku postępowania administracyjnego organ orzekający ocenił przedstawione przez Bank dokumenty, ale nie wynika z nich realizacja przez Bank (...) w stosunku do skarżącej obowiązku informacyjnego (wysłania, a nie tylko wygenerowania pism)”. Jeśli więc oświadczenie zostało posłane adresatowi listem albo innym sposobem porozumiewania się na odległość, składający powinien wykazać np. za pomocą zwrotnego poświadczenia odbioru, że list (telegram) został adresatowi doręczony. Powstały dowód nadania listu poleconego nie jest wprawdzie dowodem doręczenia go adresatowi.

Prezes Urzędu Ochrony Danych Osobowych podziela ponadto stanowisko Naczelnego Sądu Administracyjnego odnoszące się do analogicznej do art. 6 ust. 1 lit. f  RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z dnia 6 marca 2019 r. w sprawie sygn. I OSK 994/17 (LEX  nr 2670498) orzekł, cyt.: „Przepis art. 23 ust. 1 pkt 5 u.o.d.o. zezwala na przetwarzanie danych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu należy zatem zwrócić uwagę,  że stosowanie ww. przepisu wymaga wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów osoby, której danych sprawa dotyczy, a która jest objęta ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. Naczelny Sąd Administracyjny w wyroku z dnia 23 września 2005 r. (sygn. akt I OSK 712/05,CBOSA) już wskazywał,  że rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron w tym praw podstawowych. (…) niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem,  że mogą być one ewentualnie przydatne w przyszłości.”.

Wskazać należy, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby Skarżąca wystąpiła z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Banku do zachowania i przetwarzania jej danych osobowych dla celów dowodowych w związku z dochodzeniem przez Skarżącą roszczenia. W ocenie Prezesa UODO, brak jest zatem spełnienia wskazywanej przez Bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych Skarżącej. Przesłanka z art. 6 ust 1 lit. f) RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W związku z tym, że przeprowadzone przez Prezesa UODO postępowanie administracyjne nie wykazało, aby Skarżąca skierowała wobec Banku jakiekolwiek roszczenie, należy stwierdzić, iż Bank przetwarza dane osobowe Skarżącej w ww. celu wyłącznie „na zapas”, aby zabezpieczyć się przed ewentualnym przyszłymi  i niepewnymi jego roszczeniami.

Podkreślenia wymaga, że przy przyjęciu odmiennej interpretacji ww. przepisów, Skarżąca pozbawiona byłaby ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r.  o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Zaznaczyć bowiem należy,  że przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego  i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f) RODO oznaczałoby, że dane osobowe Skarżącej mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by Skarżąca zwróciła się do Banku z roszczeniem po upływie terminu jego przedawnienia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych Skarżącej przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f) RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem Skarżącej również po upływie ww. terminu.

Podzielając powyższe rozważania raz jeszcze podkreślić należy, że w niniejszej sprawie nie zostały spełnione przesłanki z art. 105a ust 3 Prawa bankowego, zgodnie z którym Bank może przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy bez ich zgody w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, jak również brak jest sporu toczącego się pomiędzy Skarżącą a Bankiem, w ocenie Prezesa Urzędu Ochrony Danych Osobowych brak jest celu uzasadniającego przetwarzanie ww. danych osobowych Skarżącej, w oparciu o ww. podstawę prawną w powyższych celach. Dlatego też korzystając z uprawnienia przewidzianego  w art. 58 ust. 2 lit. c RODO, Prezes Urzędu Ochrony Danych Osobowych nakazał Bankowi zaprzestanie przetwarzania na podstawie art. 105a ust. 3 Prawa bankowego danych osobowych Skarżącej w B. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego oraz zaprzestanie przetwarzania danych osobowych Skarżącej dotyczących umów nr […] z dnia […] grudnia 2015 r. oraz nr […] z dnia […] kwietnia 2016 r. w celu obrony przed ewentualnymi roszczeniami Skarżącej.

W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.