Ikonka home dla okruszków Prawo Decyzje Prezesa UODO Według rodzaju instytucji Bankowość

DS.523.1980.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2022 r. poz. 2000) w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35),  zw. z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2022 r. poz. 2324), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani X. Y.,  na nieprawidłowości w procesie przetwarzania jej danych osobowych przez C. S.A., w tym w systemie A. S.A., polegające na przetwarzaniu jej danych osobowych bez podstawy prawnej, Prezes Urzędu Ochrony Danych Osobowych

1.    nakazuje C. S.A., zaprzestanie przetwarzania danych osobowych Pani X. Y., dotyczących umowy z dnia 5 lipca 2017 r. o kredyt gotówkowy oraz o świadczeniu usług bankowości elektronicznej nr […], przetwarzanych na podstawie art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2022 r. poz. 2324) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego w systemie A. S.A.,

2.    nakazuje C. S.A., zaprzestanie przetwarzania danych osobowych Pani X. Y., dotyczących umowy z dnia 5 lipca 2017 r. o kredyt gotówkowy oraz o świadczeniu usług bankowości elektronicznej nr […] w systemach Banku.

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani X. Y., zwanej dalej Skarżącą,  na nieprawidłowości w procesie przetwarzania jej danych osobowych przez C. S.A., zwaną dalej Bankiem, w tym w systemie A. S.A., zwanej dalej A., polegające na przetwarzaniu jej danych osobowych bez podstawy prawnej.

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.

  1. Skarżąca w treści skargi wskazała, że Bank nie spełnił wymagań uprawniających go do rozpoczęcia przetwarzania jej danych osobowych, w tym w bazie A., w związku z wierzytelnością wynikającą z umowy z dnia 5 lipca 2017 r., ponieważ nie spełnił łącznie wszystkich warunków z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2022 r. poz. 2324), zwanej dalej Prawem bankowym, tzn. nigdy nie powiadomił o zamiarze przetwarzania jej danych osobowych bez jej zgody w bazie A. Skarżąca pismem z dnia […] grudnia 2021 r. zwróciła się do Banku z wnioskiem o wycofaniu zgody na przetwarzanie jej danych osobowych w systemie A., w związku ze spłatą zadłużenia. W odpowiedzi z dnia […] stycznia 2022 r. Bank potwierdził realizację ww. wniosku, zaznaczając, że dane osobowe Skarżącej związane umową o kredyt gotówkowy oraz o świadczeniu usług bankowości elektronicznej nr […], zwaną dalej Umową, mogą być cyt. „[…] przetwarzane przez A. oraz udostępniane Bankom i innym instytucjom ustawowo upoważnionym do udzielania kredytów oraz instytucjom kredytowym w celach i zakresie określonym przepisami art. 105 ust 4 i art. 105a Prawa bankowego.” Wobec powyższego Skarżąca wniosła o nakazanie Bankowi usunięcia jej danych osobowych. (dowód: skarga z dnia 16 marca 2022 r. wraz z załącznikami, wyjaśnienia Banku wraz z załącznikami z dnia 6 czerwca 2022 r.);
  2. W swoich wyjaśnieniach Bank wskazał, że dane osobowe Skarżącej zostały zebrane w związku z zawartą ze Skarżącą umową o kredyt gotówkowy oraz o świadczeniu usług bankowości elektronicznej nr […], która została wypowiedziana przez Bank pismem z dnia […] października 2019 r., w którym zawarta była informacja, dotycząca przetwarzania danych Skarżącej  bez jej zgody, tj. na podstawie art. 105a ust. 3 ustawy Prawo bankowe (dowód: wyjaśnienia Banku wraz z załącznikami z dnia […] czerwca 2022 r.),
  3. Bank wyjaśnił, że dane osobowe Skarżącej przetwarzane są obecnie przez Bank w celu skutecznej obrony przed ewentualnymi roszczeniami ze strony Skarżącej do czasu ich przedawnienia zgodnie z art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks Cywilny (Dz.U. z 2022, poz.1360 t.j.), zwanej dalej Kodeks Cywilny, w związku z art. 6 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, oraz w systemie A. na podstawie art. 105a ust. 3 Prawa bankowego przez okres wskazany w art. 105a ust. 5 Prawa bankowego. Jednocześnie w swoich wyjaśnieniach Bank wskazał, iż zarówno Bank, jak i Skarżąca nie występowali względem siebie z jakimikolwiek roszczeniami. Zakres obecnie przetwarzanych danych osobowych Skarżącej przez Bank obejmuje dane identyfikacyjne takie jak: imię i nazwisko, nr PESEL, nr dowodu osobistego, adres email, numer telefonu, adres zameldowania i korespondencyjny, nazwa zakładu pracy i wysokość osiąganych dochodów. (dowód: wyjaśnienia Banku wraz z załącznikami z dnia […] czerwca 2022 r., wyjaśnienia A. z dnia […] czerwca 2022 r., wyjaśnienia Banku z dnia 6 sierpnia 2022 r.);
  4. W związku z zaległościami w spłacie zobowiązania wynikającego z Umowy nr […] Bank wysłał do Skarżącej listem poleconym oświadczenie o wypowiedzeniu tej umowy z dnia […] października 2019 r. (data nadania […] października 2019 r., w którym znalazła się informacja o zamiarze przetwarzania danych po wygaśnięciu ww. zobowiązania, bez jej zgody, zgodnie z art. 105 ust. 3 Prawa Bankowego. Na dowód powyższego Bank załączył kopię pisma skierowanego do Skarżącej oraz kopię listy wysyłkowej zawierającą datę skierowania do Skarżącej ww. pisma. Bank wskazał również, iż cyt. „W przedmiotowej sprawie korespondencja z informacją o zamiarze przetwarzania danych Skarżącej na podstawie art. 105a ust. 3 Ustawy – Prawo bankowe została wysłana z dniem […] października 2019 r. od tej daty Bank liczy upływ 30-dniowego terminu z dodaniem jeszcze 7 dni na doręczenie korespondencji do Skarżącej.” (dowód: wyjaśnienia Banku wraz z załącznikami z dnia […] czerwca 2022 r., wyjaśnienia A. z dnia […] czerwca 2022 r.);
  5. Obecnie w bazie A. przetwarzane są następujące dane osobowe Skarżącej dotyczące Umowy nr […]: dane osobowe identyfikujące Skarżącą: imię, nazwisko, PESEL, seria i numer dowodu osobistego, płeć, data urodzenia, adres zamieszkania; oraz dane dotyczące zobowiązania: relacja klienta do rachunku, data zawarcia umowy, data powstania relacji, data ustania relacji, typ transakcji, kwota kredytu, kwota kredytu z kosztem odsetkowym, kwota raty, liczba rat, waluta, okres obowiązywania umowy, częstotliwość spłat, informacje na temat historii spłaty, w tym informacja o opóźnieniach w spłacie, informacja o spełnieniu warunków z art. 105 a ust. 3 Prawa bankowego oraz informacja o udzieleniu i wycofaniu zgody, o której mowa w art. 105 a ust. 2 Prawa bankowe. A. wskazał, że ww. umowa wygasła w dniu […] kwietnia 2021 r. i przetwarzanie ww. danych przez A.  następuje obecnie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, na podstawie art. 105a ust. 3 w zw. z art. 105 ust. 4 Prawa bankowego oraz na podstawie umowy zawartej przez Bank z A. (dowód: wyjaśnienia A. z dnia […] czerwca 2022 r. wraz z załącznikami, wyjaśnienia A. z dnia […] sierpnia 2022 r.).

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W pierwszej kolejności należy wskazać, że przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych jest art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny.

Co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank w A. może być obecnie art. 6 ust. 1 lit. f  RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Wskazania wymaga, że przetwarzanie danych osobowych odbywa się w oparciu o umowę zawartą pomiędzy Bankiem i A.

Wskazać należy że A. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (pkt 1), innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).

Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 – 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 3 Prawa bankowego banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Mając powyższe na uwadze wskazać należy, że choć zobowiązanie Skarżącej, wynikające z umowy nr […] wobec Banku wygasło w dniu […] kwietnia 2021 r., to jak wynika ze zgromadzonego materiału dowodowego odnośnie spłaty zadłużenia, Skarżąca dopuściła się zwłoki trwającej dłużej niż 60 dni w przypadku ww. zobowiązania. Istotnym jednakże w niniejszej sprawie jest to, że Bank nie spełnił wobec niej obowiązku określonego w art. 105a ust. 3 Prawa bankowego, tj. nie poinformował jej skutecznie o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody po wygaśnięciu zobowiązania wynikającego z przedmiotowej umowy. Stwierdzić należy, że sam fakt, iż Skarżąca nie wykonała zobowiązania lub spóźniła się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jej danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym osoba fizyczna dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec termin 30 dni, w którym instytucja oczekuje jeszcze na wykonanie zobowiązania klienta. Termin 30 dni biegnie od momentu, w którym osoba fizyczna zostanie skutecznie poinformowana przez instytucję o zamiarze przetwarzania. Ostatecznie to bezskuteczny upływ 30 dni od momentu poinformowania – a nie zaś jak twierdzi Bank – nadania pisma z informacją -  stanowi o wypełnieniu przesłanek z art. 105a ust. 3 Prawa bankowego. Wobec wysłania oświadczenia o wypowiedzeniu przedmiotowej umowy wraz z informacją o zamiarze przetwarzania danych Skarżącej na podstawie art. 105a ust. 3 Prawa bankowego listem poleconym, nie można ustalić daty zapoznania się przez Skarżącą z przesłaną jej informacją, a tym samym niemożliwe jest ustalenie daty, od której płynie 30 dniowy termin określony ww. przepisie.

Podkreślić należy, że stosownie do treści art. 105a ust. 3 Prawa bankowego należy ustalić datę, w której doszło do poinformowania osoby, której dane dotyczą, o zamiarze przetwarzania jej danych osobowych po wygaśnięciu zobowiązania, bez jej zgody, nie zaś datę, w której hipotetycznie osoba ta mogła zapoznać się z powyższą informacją. Natomiast Bank wyjaśnił, że datę doręczenia Skarżącej przesyłki zawierającej powyższą informację ustalił dodając do daty, w której nadał korespondencję do Skarżącej, tj. […] października 2019 r., 7-dniowy termin, w którym jego zdaniem powinno nastąpić skuteczne doręczenie przesyłki. W ocenie organu powyższe jest sprzeczne z treścią art. 105a ust. 3 Prawa bankowego. Za niedopuszczalne należy uznać ustalanie daty, w której doszło do poinformowania o okolicznościach wskazanych w ww. przepisie prawa, w oparciu o przypuszczenie Banku, że we wskazanym przez niego terminie 7 dni mogło dojść do doręczenia informacji do Skarżącej, w oparciu o przypuszczenia. Podzielić w tym miejscu należy stanowisko wyrażone przez Naczelny Sąd Administracyjny, zgodnie z którym daty, będącej początkiem biegu 30-dniowego terminu wskazanego w art. 105a ust. 3 Prawa bankowego, nie można ustalać w oparciu o domniemania (por. wyrok Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 roku, w sprawie o sygn. akt I OSK 2514/17). Brak dowodu doręczenia Skarżącej przedmiotowej przesyłki skutkuje więc niemożliwością ustalenia konkretnego terminu zapoznania się przez Skarżącą z treścią wskazanej informacji. Prezes Urzędu Ochrony Danych Osobowych podziela w tym zakresie stanowisko wyrażone w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 stycznia 2022 r. w sprawie o sygn. II Sa/Wa 3584/21, zgodnie z którym cyt.: „poinformowanie adresata oświadczenia winno, z uwagi na wspomniany powyżej dodatkowy trzydziestodniowy termin na wykonanie zobowiązania, nastąpić w ten sposób, by można było ustalić początek biegu tego terminu. Dopiero bowiem bezskuteczny upływ owego trzydziestodniowego dodatkowego terminu upoważnia Bank do przetwarzania danych osobowych w oparciu o przepis art. 105a ust. 3 Prawa bankowego. Nadanie powiadomienia, o którym mowa w art. 105a ust. 3 ustawy – Prawo bankowe, listem poleconym nie pozwala – w okolicznościach niniejszej sprawy – na ustalenie początku biegu wskazanego terminu. Skoro to Bank wywodzi skutki prawne z powiadomienia strony o zamiarze przetwarzania jej danych osobowych stanowiących tajemnicę bankową bez jej zgody, to musi wykazać, że bezskutecznie upłynęło 30 dni od daty poinformowania strony o tym zamiarze. Wykazanie tej okoliczności wymaga jednak – co oczywiste – wykazania początku biegu owego trzydziestodniowego terminu” (II SA/Wa 3584/21 - Wyrok WSA w Warszawie z 2022-01-18 (nsa.gov.pl)).

Z powyższego wynika zatem, iż Bank przetwarzając dane Skarżącej na warunkach określonych w ww. przepisie, musi wykazać, że Skarżąca została poinformowana o zamiarze przetwarzania jej danych bez jej zgody. W niniejszej sprawie Skarżąca podniosła natomiast, że okoliczności wskazywane w art. 105a ust. 3 Prawa bankowego nie zostały spełnione w związku z czym Bank nie był uprawniony do przekazania jej danych osobowych do A. Podkreślenia wymaga, że brak jest innych dowodów wskazujących na prawidłowe i skuteczne poinformowanie Skarżącej o treści art. 105a ust. 3 Prawa bankowego niż oświadczenie Banku, pozostające w sprzeczności z twierdzeniami Skarżącej.

Bank nie przedstawił dowodu na prawidłowe doręczenie Skarżącej dokumentu, w treści, którego zawarta była informacja o okolicznościach wskazanych w art. 105a ust. 3 Prawa bankowego, zatem okoliczność skutecznego poinformowania Skarżącej o treści art. 105a ust. 3 Prawa bankowego nie może zostać uznana za udowodnioną. Dodatkowo należy podkreślić, że sporządzenie i wysłanie ww. pisma, nie jest równoznaczne z udowodnieniem jego prawidłowego doręczenia, skutkującego poinformowaniem Skarżącej o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jej zgody na podstawie art. 105a ust. 3 Prawa bankowego. Samo bowiem oświadczenie o wysłaniu korespondencji i przedstawienie jej kopii wraz z kopią listy korespondencji bankowej wysłanej listem poleconym nie stanowi dowodu na jej dostarczenie lub poinformowanie o jej treści adresata. W tym miejscu należy wskazać, że przepisy powszechnie obowiązujące nie formułują obowiązku wysłania informacji, o której mowa w art. 105a ust. 3 Prawa bankowego w szczególnej formie. To do podmiotu informującego należy zatem wybór formy przekazania odbiorcy komunikatu, o zamiarze przetwarzania danych osobowych bez jego zgody. Jednocześnie to podmiot informujący wywodzi z powyższego skutki prawne, zatem to on musi wykazać, że poinformował Skarżącą o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jej zgody na podstawie art. 105a ust. 3 Prawa bankowego.

Prezes Urzędu Ochrony Danych Osobowych podziela stanowisko Naczelnego Sądu Administracyjnego wyrażone w wyroku z dnia 7 sierpnia 2018 r. w sprawie o sygn. I OSK 2123/16, zgodnie z którym cyt.: „literalne odczytanie art. 105a ust. 3 Prawa bankowego może wskazywać na to, że ustawodawca nie stworzył w tym zakresie żadnych szczególnych wymogów formalnych co do sposobu i treści takiego poinformowania klienta lub byłego klienta banku. Prawidłowa wykładnia tego przepisu nie może jednak oznaczać całkowitej dowolności w tym zakresie. Przede wszystkim należy zwrócić uwagę na materialny (ochronny), a nie formalny charakter tego przepisu. Wymaga on w sposób kategoryczny "poinformowania", a nie "wysłania zawiadomienia"” (Legalis nr 1814483).

Podzielając powyższe rozważania raz jeszcze podkreślić należy, że w niniejszej sprawie nie zostały spełnione przesłanki z art. 105a ust 3 Prawa bankowego, zgodnie z którym Bank może przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy bez ich zgody w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Prezes Urzędu Ochrony Danych Osobowych, w toku prowadzonego postępowania administracyjnego, również nie stwierdził okoliczności uprawniających Bank do przetwarzania danych osobowych Skarżącej w oparciu o ww. podstawę prawną w powyższym celu.

Odnosząc się do żądania Skarżącej w przedmiocie nakazania usunięcia jej danych osobowych przetwarzanych w bazie Banku, a dotyczących umowy o kredyt gotówkowy i o świadczenie usług bankowości elektronicznej o numerze […] z dnia 6 lipca 2017 r., zauważyć należy, że Bank wskazał, że przetwarza ww. dane osobowe na podstawie prawnie uzasadnionego interesu, czyli na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 Kodeksu cywilnego w celu obrony przed ewentualnymi roszczeniami Skarżącej. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby Skarżąca wystąpiła z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Banku do zachowania i przetwarzania jej danych osobowych  dla celów dowodowych w związku z dochodzeniem przez Skarżącą tego roszczenia. W ocenie Prezesa UODO, brak jest zatem spełnienia wskazywanej przez Bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych Skarżącej. Przesłanka z art. 6 ust 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W związku z tym, że przeprowadzone przez Prezesa UODO postępowanie administracyjne nie wykazało, aby Skarżąca skierowała wobec Banku jakiekolwiek roszczenie poza tym dot. usunięcia jej danych osobowych, należy stwierdzić, iż Bank przetwarza dane osobowe Skarżącej w ww. celu wyłącznie „na zapas”, aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami Skarżącej. Prezes Urzędu Ochrony Danych Osobowych podziela ponadto stanowisko Naczelnego Sądu Administracyjnego w Warszawie, odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych niezbędnego dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Ponadto wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych podziela stanowisko Naczelnego Sądu Administracyjnego wyrażone w wyroku z dnia 27 marca 2018 r., sygn. akt I OSK 1459/16, odnoszące się do  art. 25 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), zwanej dalej ustawą z 1997 r., które pozostaje aktualne także w świetle obowiązującego art. 6 ust. 1 lit. f RODO, w którym sąd ten wskazał, że cyt.: „Należy zwrócić uwagę, że przepis art. 23 ust. 1 pkt 5 ustawy na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych, czy postępowań administracyjnych bądź karnych”.

Podkreślenia wymaga, że przy przyjęciu odmiennej interpretacji ww. przepisów, Skarżąca pozbawiona byłaby ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Zaznaczyć bowiem należy, że przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Skarżącej mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by Skarżąca zwróciła się do Banku z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych Skarżącej przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem Skarżącej również po upływie ww. terminu.

W tym miejscu wskazać należy, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank. Koniecznym jest by podnieść, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Podkreślenia wymaga, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.

Z uwagi na to, że Bank nie wskazał roszczenia, którego zaspokojenia domaga się od Skarżącej, jak również brak jest sporu toczącego się miedzy Skarżącą a Bankiem dotyczącego stosunku zobowiązaniowego, w ocenie Prezesa Urzędu Ochrony Danych Osobowych brak jest celu uzasadniającego przetwarzanie ww. danych osobowych Skarżącej, w rozumieniu art. 6 ust. 1 lit. f RODO. Wobec powyższego, kontynuowanie do chwili obecnej przetwarzania danych osobowych Skarżącej w celu ustalenia, dochodzenia lub obrony przed ewentualnymi, przyszłymi i niepewnymi roszczeniami, należy uznać za zbędne i niezgodne z obowiązującymi przepisami o ochronie danych osobowych. W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych nakazał Bankowi zaprzestanie przetwarzania danych osobowych Skarżącej dot. umowy o kredyt gotówkowy i o świadczenie usług bankowości elektronicznej o numerze […] z dnia 6 lipca 2017 r. w systemach Banku.

W tym miejscu wskazać należy, że postępowanie administracyjne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych. Wobec powyższego korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, Prezes Urzędu Ochrony Danych Osobowych nakazał ponadto Bankowi zaprzestanie przetwarzania na podstawie art. 105a ust. 3 Prawa bankowego danych osobowych Skarżącej dot. umowy o kredyt gotówkowy i o świadczenie usług bankowości elektronicznej o numerze […] z dnia 6 lipca 2017 r. w A. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

 

Podmiot udostępniający: Departament Skarg
Wytworzył informację:
user Jan Nowak
date 2023-03-29
Wprowadził informację:
user Jan Potocki
date 2025-04-30 10:17:23
Ostatnio modyfikował:
user Edyta Madziar
date 2025-05-07 08:38:31