DS.523.2319.2021

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) w zw. z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2021 r., poz. 2439), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana K. L., zam. w M. przy ul. (…), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez T. S.A. z siedzibą w C. przy ul. (…), polegające na przetwarzaniu jego danych osobowych wynikających z umowy nr (…) z dnia 2 października 2013 r. bez podstawy prawnej, w tym przetwarzaniu tych danych w K. S. A. z siedzibą w D. przy ul. (…), oraz na odmowie spełnienia żądania w zakresie zaprzestania przetwarzania tych danych, Prezes Urzędu Ochrony Danych Osobowych

1. nakazuje T. S.A. z siedzibą w C. przy ul. (…) zaprzestanie przetwarzania danych osobowych Pana K. L., zam. w M. przy ul. (…), dotyczących umowy nr (…) z dnia 2 października 2013 r. przetwarzanych na podstawie art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego w K. S.A. z siedzibą w D. przy ul. (…);
2. nakazuje T. S.A. z siedzibą w C. przy ul. (…) zaprzestanie przetwarzania danych osobowych Pana K. L., zam. w M. przy ul. (…), dotyczących umowy nr (…) z dnia 2 października 2013 r. w celu obrony przed ewentualnymi roszczeniami.

                                                                                                            Uzasadnienie
Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana K. L., zam. w M. przy ul. (…), zwanego dalej Skarżącym, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez T. S.A. z siedzibą w C. przy ul. (…), zwaną dalej Bankiem, polegające na przetwarzaniu danych osobowych Skarżącego, wynikających z umowy nr (…) z dnia 2 października 2013 r. bez podstawy prawnej, w tym przetwarzanie tych danych w K. S.A. z siedzibą w D. przy ul. (…), zwanej dalej K, oraz na odmowie spełnienia żądania Skarżącego w zakresie zaprzestania przetwarzania tych danych.
W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych, zwanej dalej również Prezesem UODO, ustalił następujący stan faktyczny.
1. W skardze inicjującej niniejsze postępowanie Skarżący wskazał, że Bank przetwarza jego dane osobowe wynikające z umowy nr (…) z dnia 2 października 2013 r., bez podstawy prawnej. Skarżący wskazał cyt.: „(…) mimo ustania mojej relacji z bankiem po całkowitej spłacie zobowiązania bank nadal przetwarzał i przetwarza moje dane osobowe udostępniając je także w zewnętrznej bazie K mimo iż wycofałem swoją zgodę na jakiekolwiek działania. Bank nie wypełnił jednocześnie obowiązku poinformowania mnie o dokonanych wpisach co sprawia że działania te są bezprawne.” Wobec powyższego Skarżący wniósł o nakazanie Bankowi usunięcia jego danych osobowych. (dowód: skarga z dnia 30 marca 2021 r. oraz pismo Skarżącego z dnia 6 maja 2021 r.);
2. W złożonych wyjaśnieniach Bank wskazał, że dane osobowe Skarżącego pozyskał w związku z zawarciem ze Skarżącym umowy nr (…) z dnia (...) października 2013 r. Bank wskazał, że w dniu 2 lutego 2018 r. dokonał cesji wierzytelności wynikającej z ww. umowy, w konsekwencji czego została ona sprzedana do H. z siedzibą w W. Bank wskazał również, że cyt.: „(…) aktualnie przetwarza dane Skarżącego pozyskane w związku z zawartą Umową w celu obrony przed ew. roszczeniami do czasu ich przedawnienia zgodnie z art. 118 KC w zw. z art. 6 ust. 1 lit. f) RODO, w tym dla celów związanych z prowadzoną korespondencją ze Skarżącym dotyczącą wniosków RODO – co stanowi jednocześnie prawnie uzasadniony interes Banku. Dane Skarżącego przetwarzane są również na podstawie art. 105a ust. 3 Ustawy – Prawo Bankowe w K.” (dowód: wyjaśnienia Banku z dnia 21 czerwca 2021 r.);
3. Bank wskazał, że Skarżący dopuścił się zwłoki w spłacie zobowiązanie przekraczającej 60 dni. Wobec tego Bank cyt.: „(…) w dniu 11 lipca 2014 r. wysłał do Skarżącego oświadczenie o wypowiedzeniu Umowy (nr nadania listu poleconego (…)) na ostatnio znany Bankowi adres do korespondencji Skarżącego. W piśmie tym zawarta została informacja o zamiarze przetwarzania przez Bank danych stanowiących tajemnicę bankową bez zgody Skarżącego. Umowa skutecznie została wypowiedziana z dniem 02.09.2014r.” Bank wyjaśnił również, że cyt.: „W związku z faktem, że pismo z oświadczeniem o wypowiedzeniu Umowy zostało wysłane listem poleconym w dniu 11.07.2014r., a przetwarzanie danych na podstawie art. 105a ust. 3 Ustawy – Prawo bankowe rozpoczęło się z dniem 07.02.2018r. upłynęło co najmniej 30 dni od poinformowania Skarżącego o zamiarze przetwarzania jego danych – bez zgody, tj. na podstawie art. 105a ust. 3 Ustawy – Prawo Bankowe. Informujemy dodatkowo, że zgoda na przetwarzanie danych przez K po spłacie została wycofana z dniem 27.01.2021r.” (dowód: wyjaśnienia Banku z dnia 22 czerwca 2021 r. oraz 17 września 2021 r.);
4. Bank wskazał, że przekazał dane osobowe Skarżącego do K w dniu 31 października 2013 r. na podstawie art. 105 ust. 4 stawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2021 r., poz.2439), zwanej dalej Prawem bankowym. Bank wskazał również, że obecnie dane Skarżącego wynikające z ww. umowy przetwarzane są w K na podstawie art. 105a ust. 3 Prawa bankowego od dnia 7 lutego 2018 r. (dowód: wyjaśnienia Banku z dnia 22 czerwca 2021 r.);
5. Bank wyjaśnił również, że Skarżący złożył elektroniczny wniosek o wycofanie zgody na przetwarzanie danych osobowych, w którym wycofał m.in. zgodę na przetwarzanie przez K dotyczących go informacji stanowiących tajemnicę bankową po wygaśnięciu zobowiązań wynikających z umowy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres nie dłuższy niż 5 lat od dnia ich wygaśnięcia. Bank potwierdził realizację złożonego wniosku, niemniej jednak poinformował również Skarżącego, że podstawą prawną dla przetwarzania jego danych w K po zamknięciu umowy może być art. 105a ust. 3 Prawa bankowego. Bank wskazał również, że pełnomocnik Skarżącego wniósł do Banku pismo reklamacyjne ze sprzeciwem wobec przetwarzania jego danych w bazie K. Bank w odpowiedzi poinformował, że dane Skarżącego są przetwarzane na podstawie art. 105a ust. 3 Prawa bankowego z uwagi na fakt spełnienia wszystkich przesłanek określonych tym artykułem. Pełnomocnik Skarżącego wniósł do Banku kolejne pismo z wnioskiem o ponowne rozpatrzenie sprawy przez Bank. W odpowiedzi Bank poinformował, że podtrzymuje swoje dotychczasowe stanowisko. Pismem z dnia 19 stycznia 2021 r. Skarżący wniósł kolejny wniosek z żądaniem zaprzestania przetwarzania jego danych w K, na które Bank odpowiedział, ponownie informując Skarżącego, że jego dane są przetwarzane na podstawie art. 105a ust. 3 Ustawy – Prawo Bankowe. (dowód: wyjaśnienia Banku z dnia 22 czerwca 2021 r. wraz z załącznikami);
6. K wskazał, że pozyskał dane osobowe Skarżącego od Banku na podstawie art. 105 ust. 4 ustawy Prawo bankowe, art. 105a ust. 1 ustawy Prawo bankowe oraz na podstawie łączącej Bank i K umowy. K wskazał, że obecnie przetwarza dane osobowe Skarżącego przekazane przez Bank w zakresie rachunku umowy kredytowej (kredyt na zakup towarów, usług i papierów wartościowych) z dnia 2 październiku 2013 r., wprowadzonej do zbioru danych K w dniu 26 listopada 2013 r. Powyższy rachunek ma status rachunku odzyskanego i przetwarzany jest w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 w zw. z art. 105 ust. 4 Prawa bankowego. K wyjaśnił również, że Skarżący nie zwracał się do K z wnioskiem o usunięcie jego danych osobowych. (dowód: wyjaśnienia K z dnia 11 sierpnia 2021 r. oraz 29 października 2021 r. z załącznikiem).
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
W pierwszej kolejności należy wskazać, że przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b RODO), gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) lub gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
Co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank w K może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Wskazania wymaga, że przetwarzanie danych osobowych odbywa się w oparciu o umowę zawartą pomiędzy Bankiem i K.
Wskazać należy że K jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 – 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 3 Prawa bankowego banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.
Mając powyższe na uwadze wskazać należy, że z ustalonego w niniejszej sprawie stanu faktycznego wynika, że zobowiązanie Skarżącego wobec Banku, wynikające z umowy nr (…) z dnia 2 października 2013 r., wygasło w dniu 2 lutego 2018 r. w związku z zawartą przez Bank umową cesji z H. z siedzibą w W. Ponadto jak wyjaśnił Bank, Skarżący w dniu 27 stycznia 2021 r. wycofał zgodę na przetwarzanie jego danych osobowych w K, po wygaśnięciu zobowiązania. Ze zgromadzonego materiału dowodowego wynika, że Skarżący dopuścił się zwłoki w spłacie zobowiązania trwającej dłużej niż 60 dni. Istotnym jednakże w niniejszej sprawie jest to, że Bank nie przedstawił dowodu na spełnienie wobec Skarżącego obowiązku określonego w art. 105a ust. 3 Prawa bankowego, tj. nie poinformował go skutecznie o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnicę bankową, bez jego zgody po wygaśnięciu zobowiązania wynikającego z przedmiotowej umowy. Stwierdzić należy, że sam fakt, iż Skarżący nie wykonał zobowiązania lub spóźnił się z jego wykonaniem co najmniej 60 dni, nie upoważnia Bank do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym konsument dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec termin 30 dni, w którym instytucja oczekuje jeszcze na wykonanie zobowiązania klienta. Termin 30 dni biegnie od momentu, w którym konsument zostanie skutecznie poinformowany przez instytucję o zamiarze przetwarzania. Ostatecznie to bezskuteczny upływ 30 dni od momentu poinformowania – a nie nadania pisma z informacją - stanowi o wypełnieniu przesłanek z art. 105a ust. 3 Prawa bankowego. Wobec wysłania oświadczenia o wypowiedzeniu przedmiotowej umowy wraz z informacją o zamiarze przetwarzania danych Skarżącego na podstawie art. 105a ust. 3 Prawa bankowego listem poleconym, nie można ustalić daty zapoznania się przez Skarżącego z przesłaną jej informacją, a tym samym niemożliwe jest ustalenie daty, od której płynie 30 dniowy termin określony ww. przepisie. Prezes Urzędu Ochrony Danych Osobowych podziela w tym zakresie stanowisko wyrażone w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 stycznia 2022 r. w sprawie o sygn. II Sa/Wa 3584/21, zgodnie z którym cyt.: „poinformowanie adresata oświadczenia winno, z uwagi na wspomniany powyżej dodatkowy trzydziestodniowy termin na wykonanie zobowiązania, nastąpić w ten sposób, by można było ustalić początek biegu tego terminu. Dopiero bowiem bezskuteczny upływ owego trzydziestodniowego dodatkowego terminu upoważnia Bank do przetwarzania danych osobowych w oparciu o przepis art. 105a ust. 3 Prawa bankowego. Nadanie powiadomienia, o którym mowa w art. 105a ust. 3 ustawy – Prawo bankowe, listem poleconym nie pozwala – w okolicznościach niniejszej sprawy – na ustalenie początku biegu wskazanego terminu. Skoro to Bank wywodzi skutki prawne z powiadomienia strony o zamiarze przetwarzania jej danych osobowych stanowiących tajemnicę bankową bez jej zgody, to musi wykazać, że bezskutecznie upłynęło 30 dni od daty poinformowania strony o tym zamiarze. Wykazanie tej okoliczności wymaga jednak – co oczywiste – wykazania początku biegu owego trzydziestodniowego terminu” (II SA/Wa 3584/21 - Wyrok WSA w Warszawie z 2022-01-18 (nsa.gov.pl)).
Z powyższego wynika zatem, że Bank przetwarzając dane osobowe Skarżącego na warunkach określonych w ww. przepisie, musi wykazać, że Skarżący został poinformowany o zamiarze przetwarzania ich bez jego zgody. W niniejszej sprawie Skarżący podniósł natomiast, że okoliczności wskazywane w art. 105a ust. 3 Prawa bankowego nie zostały spełnione, w związku z czym Bank nie jest uprawniony do przetwarzania jego danych osobowych w K. Podkreślenia wymaga, że brak jest innych dowodów wskazujących na prawidłowe i skuteczne poinformowanie Skarżącego o treści art. 105a ust. 3 Prawa bankowego niż oświadczenie Banku, pozostające w sprzeczności z twierdzeniami Skarżącego.
Bank nie przedstawił dowodu na prawidłowe doręczenie Skarżącemu dokumentu, w treści którego zawarta była informacja o okolicznościach wskazanych w art. 105a ust. 3 Prawa bankowego, zatem okoliczność skutecznego poinformowania Skarżącego o treści art. 105a ust. 3 Prawa bankowego nie może zostać uznana za udowodnioną. Dodatkowo należy podkreślić, że sporządzenie i wysłanie ww. pisma, nie jest równoznaczne z udowodnieniem jego prawidłowego doręczenia, skutkującego poinformowaniem Skarżącego o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jego zgody na podstawie art. 105a ust. 3 Prawa bankowego. Samo bowiem oświadczenie o wysłaniu korespondencji i przedstawienie jej kopii wraz z kopią listy korespondencji bankowej wysłanej listem poleconym nie stanowi dowodu na jej dostarczenie lub poinformowanie o jej treści adresata. W tym miejscu należy wskazać, że przepisy powszechnie obowiązujące nie formułują obowiązku wysłania informacji, o której mowa w art. 105a ust. 3 Prawa bankowego w szczególnej formie. To do podmiotu informującego należy zatem wybór formy przekazania odbiorcy komunikatu, o zamiarze przetwarzania danych osobowych bez jego zgody. Jednocześnie to podmiot informujący wywodzi z powyższego skutki prawne, zatem to on musi wykazać, że poinformował Skarżącego o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jej zgody na podstawie art. 105a ust. 3 Prawa bankowego.
Prezes Urzędu Ochrony Danych Osobowych podziela stanowisko Naczelnego Sądu Administracyjnego wyrażone w wyroku z dnia 7 sierpnia 2018 r. w sprawie o sygn. OSK 2123/16, zgodnie z którym cyt.: „literalne odczytanie art. 105a ust. 3 Prawa bankowego może wskazywać na to, że ustawodawca nie stworzył w tym zakresie żadnych szczególnych wymogów formalnych co do sposobu i treści takiego poinformowania klienta lub byłego klienta banku. Prawidłowa wykładnia tego przepisu nie może jednak oznaczać całkowitej dowolności w tym zakresie. Przede wszystkim należy zwrócić uwagę na materialny (ochronny), a nie formalny charakter tego przepisu. Wymaga on w sposób kategoryczny "poinformowania", a nie "wysłania zawiadomienia"” (Legalis nr 1814483).
Podzielając powyższe rozważania raz jeszcze podkreślić należy, że w niniejszej sprawie nie zostały spełnione przesłanki z art. 105a ust 3 Prawa bankowego, zgodnie z którymi Bank może przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy bez ich zgody w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Prezes Urzędu Ochrony Danych Osobowych, w toku prowadzonego postępowania administracyjnego, również nie stwierdził okoliczności uprawniających Bank do przetwarzania danych osobowych Skarżącego w oparciu o ww. podstawę prawną w powyższym celu.
Kolejno wskazać należy, że proces przetwarzania danych osobowych musi być zgodny z zasadami wyrażonymi w art. 5 ust. 1 RODO. Jedną z zasad wyrażoną w art. 5 ust. 1 lit. b RODO jest zasada ograniczonego celu, zgodnie z którą dane mogą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Natomiast w myśl zasady ograniczenia przechowywania, wyrażonej w art. 5 ust. 1 lit. e RODO, dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą.
Prezes Urzędu Ochrony Danych Osobowych podziela stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, wyrażone w wyroku z dnia 20 lipca 2020 r. sygn. akt II SA/Wa 2602/19 (cyt.): „Zasada ograniczenia przechowania danych zabezpiecza osobę, której dane dotyczą przed przetwarzaniem jej danych osobowych przez niczym nieograniczony okres. W ocenie Sądu, która w tym wypadku jest zbieżna z oceną organu, punktem granicznym jest w takim wypadku osiągnięcie przez administratora danych zakładanego celu, w jakim pozyskał i przetwarzał dane osobowe. W tym miejscu warto powołać się na treść art. 39 RODO, z którego wynika, że dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum”.
Wskazać również należy, że w Rozdziale III RODO określone zostały prawa osób, których dane dotyczą i skorelowane z nimi obowiązki administratorów danych. Zgodnie z art. 17 ust. 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Odnosząc się do wskazanych przez Bank podstaw przetwarzania danych osobowych Skarżącego w zakresie umowy nr (…) z dnia 2 października 2013 r. w celu obrony przed ewentualnymi roszczeniami do czasu ich przedawnienia zgodnie z art. 118 KC w zw. z art. 6 ust. 1 lit. f RODO, w tym dla celów związanych z prowadzoną korespondencją ze Skarżącym dotyczącą wniosków RODO, podkreślić należy, że zebrany w sprawie materiał dowodowy nie wykazał, by Skarżący wystąpił z roszczeniem wobec Banku, które uzasadniałyby uprawnie Banku do zachowania i przetwarzania danych osobowych Skarżącego w celu ustalenia, dochodzenia lub obrony przed roszczeniami Skarżącego. W ocenie Prezesa UODO, brak jest w tym stanie faktycznym spełnienia wskazywanej przez Bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych Skarżącego w ww. zakresie. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W niniejszej sprawie Skarżący co prawda skierował do Banku wnioski o zaprzestanie przetwarzania jego danych osobowych, jednakże nie są one tożsame z konkretnymi roszczeniami. W związku z tym, w chwili obecnej w ocenie organu ochrony danych osobowych Bank przetwarza dane Skarżącego w ww. celu wyłącznie „na zapas”, aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami Skarżącego. Prezes Urzędu Ochrony Danych Osobowych podziela ponadto stanowisko Naczelnego Sądu Administracyjnego w Warszawie, wyrażone w wyroku z dnia 6 marca 2019 r. (sygn. I OSK 994/17), w którym NSA stwierdził: „zdaniem Naczelnego Sądu Administracyjnego przetwarzanie danych osobowych W. L., który cofnął zgodę na ich przetwarzanie, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez E. S.A., a którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych W. L. (…) Prawidłowe jest stanowisko Sądu pierwszej instancji, że niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości.”
Z uwagi na to, że Bank nie wskazał roszczenia, którego zaspokojenia domaga się od Skarżącego, jak również brak jest sporu toczącego się między Skarżącym, a Bankiem, zaś roszczenie, które przysługiwało Bankowi od Skarżącego wygasło, w ocenie Prezesa Urzędu Ochrony Danych Osobowych brak jest celu uzasadniającego przetwarzanie ww. danych osobowych Skarżącego, w oparciu o art. 6 ust. 1 lit. f RODO. Bank nie wykazał ponadto zaistnienia innej spośród wskazanych w art. 6 ust. 1 przesłanek legalizujących ww. proces przetwarzania danych Skarżącego. Wobec powyższego, kontynuowanie do chwili obecnej przetwarzania danych osobowych Skarżącego na wypadek zaistnienia w przyszłości ewentualnego roszczenia, należy uznać za zbędne i niezgodne z obowiązującymi przepisami o ochronie danych osobowych.
W tym miejscu wskazać należy, że postępowanie administracyjne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych. Wobec powyższego korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, Prezes Urzędu Ochrony Danych Osobowych nakazał Bankowi zaprzestanie przetwarzania danych osobowych Skarżącego dotyczących umowy nr (…) z dnia 2 października 2013 r. przetwarzanych w K na podstawie art. 105a ust. 3 Prawa bankowego. Wobec stwierdzenia braku podstaw prawnych do przetwarzania ww. danych Skarżącego w celu obrony przed ewentualnymi roszczeniami na podstawie art. 6 ust. 1 lit. f RODO, Prezes UODO nakazał Bankowi również zaprzestane przetwarzania danych osobowych Skarżącego w tym celu.
W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.