Ikonka home dla okruszków Prawo Decyzje Prezesa UODO
return Decyzje Prezesa
PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 14 września 2022 r.

Decyzja

DS.523.945.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.), w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r. poz. 1781) i art. 6 ust. 1 oraz  art. 58 ust. 2 lit. c  rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia  27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) w zw. z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2021 r. poz. 2439 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani XY zam. w Z. przy (…), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez C. S.A. z siedzibą w Z. przy (…), polegające na przetwarzaniu tych danych osobowych dotyczących umowy nr (…) z dnia 19 sierpnia 2013 r. bez podstawy prawnej oraz ich udostępnieniu na rzecz A. S.A. z siedzibą w X przy (…), bez podstawy prawnej, Prezes Urzędu Ochrony Danych Osobowych

1)    nakazuje C. S.A. z siedzibą w Z. przy (…), zaprzestanie przetwarzanie danych osobowych Pani XY zam. w Z.  przy (…), dotyczących umowy nr (…) z dnia 19 sierpnia 2013 r., przetwarzanych na podstawie art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2021 r. poz. 2439) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w systemach własnych oraz w systemie A.  S.A., z siedzibą w X, przy (…)

2)    nakazuje C. S.A. z siedzibą w Z. przy ul. (…), zaprzestanie przetwarzania danych osobowych Pani XY zam. w Z.  przy (…), dotyczących umowy nr (…) z dnia 19 sierpnia 2013 r., przetwarzanych bez podstawy prawnej w celu obrony przed ewentualnymi roszczeniami.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani XY zam. w Z. przy (…), zwanej dalej Skarżącą, na nieprawidłowości w procesie przetwarzania jej danych osobowych przez C. S.A. z siedzibą w Z.  przy (…), zwaną dalej Bankiem, polegające na przetwarzaniu danych osobowych Skarżącej dotyczących umowy nr (…) z dnia 19 sierpnia 2013 r. bez podstawy prawnej oraz ich udostępnieniu na rzecz A. S.A. z siedzibą w X przy (…) , zwanej dalej A.

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.

  1. Skarżąca w treści skargi wskazała, że mimo ustania jej relacji z Bankiem po całkowitej spłacie zobowiązania Bank nadal przetwarza jej dane osobowe bez podstawy prawnej oraz udostępnia je w zewnętrznej bazie A mimo, iż wycofała ona swoją zgodę na jakiekolwiek działania. W ocenie Skarżącej Bank nie spełnił wymagań uprawniających go do rozpoczęcia przetwarzania jej danych osobowych w bazie A w związku  z wierzytelnością wynikającą z umowy nr (…) z dnia 19 sierpnia 2013 r., ponieważ Bank nie spełnił łącznie wszystkich warunków wynikających z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2021 r. poz. 2439), zwanej dalej Prawem bankowym, tj. Bank nie dysponuje dowodami na potwierdzenie poinformowania Skarżącej o zamiarze przetwarzania jej danych osobowych w bazie A. Skarżąca wniosła o nakazanie usunięcia jej danych osobowych (dowód: skarga  z dnia (…) stycznia 2022 r. wraz z załącznikami, data wpływu do UODO: (…) lutego  2022 r.; oraz pismo uzupełniające skargę z dnia (…) lutego 2022 r.).
  2. Bank wyjaśnił, że pozyskał dane osobowe Skarżącej w wyniku zawarcia umowy  nr (…) z dnia 19 sierpnia 2013 r. w zakresie: dane identyfikacyjne tj. imię  i nazwisko, nr PESEL, nr dowodu osobistego, adres zameldowania i korespondencyjny; nazwa zakładu pracy i wysokość osiąganych dochodów. Bank wskazał, że do A  w czasie trwania umowy nr (…) z dnia 19 sierpnia 2013 r. przekazywane były cyklicznie dane: o aktualnej kwocie kredytu, stanie zadłużenia, zaległościach oraz dane osobowe (imię i nazwisko, PESEL, numer dowodu osobistego, adres zamieszkania). Bank wskazał ponadto, że aktualnie przetwarza dane osobowe Skarżącej na podstawie art. 6 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia  27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74  z 4.03.2021, str. 35), zwanego dalej RODO, w celu obrony przed ew. roszczeniami do czasu ich przedawnienia zgodnie z art. 118 ustawy z dnia 23 kwietnia 1964 Kodeks cywilny (Dz. U. z 2020 r. poz. 1740), zwanej dalej k.c. Dane osobowe Skarżącej przetwarzane są również w A na podstawie art. 105a ust. 3 Prawa bankowego przez okres wskazany w art. 105a ust. 5 Prawa bankowego (dowód: wyjaśnienia Banku z dnia (…) marca 2022 r. wraz z załącznikami oraz wyjaśnienia Banku z dnia (…) czerwca 2022 r. wraz z załącznikiem).
  3. Bank wskazał, że cyt.: „(…) przekazał do A S.A informacje o zobowiązaniu wynikającym z Umowy stanowiące tajemnicę bankową oraz dane identyfikacyjne Skarżącej. Dane te mogą być przetwarzane przez A oraz udostępniane Bankom i innym instytucjom ustawowo upoważnionym do udzielania kredytów oraz instytucjom kredytowym w celach i zakresie określonym przepisami art. 105 ust. 4  i art. 105a Prawa Bankowego. Pierwszy wsad przekazania danych A w dniu (…).08.2013 r.”. Ponadto Bank wyjaśnił, że cyt.: „(…) przesłał Skarżącej Oświadczenie  o wypowiedzeniu Umowy (dalej również: Oświadczenie) w dniu (…)  listem poleconym. W Oświadczeniu zawarta została informacja, że Bank po spełnieniu zobowiązania przez Skarżącą uprawniony będzie do przetwarzania jego danych na podstawie art. 105a ust. 3 Ustawy – Prawo Bankowe. Informujemy, że korespondencja została wysłana do Skarżącej na wskazany przez nią adres, natomiast zgodnie  z art. 61 Kodeksu Cywilnego „Oświadczenie woli, które ma być złożone innej osobie, jest złożone z chwilą, gdy doszło do niej w taki sposób, że mogła zapoznać się z jego treścią”.” Zgodnie w wyjaśnieniami Banku zwłoka w spełnieniu świadczenia wynikającego z przedmiotowej umowy przez Skarżącą trwała powyżej 60 dni. Bank wyjaśnił, że pismem z dnia (…) października 2021 r., które wpłynęło do Banku w dniu  (…) października 2021 r., Skarżąca zwracała się do Banku z żądaniem zaprzestania przetwarzania jej danych osobowych w bazie A (dowód: wyjaśnienia Banku z dnia  (…) marca 2022 r. wraz z załącznikami).
  4. Zgodnie z wyjaśnieniami A pozyskało dane osobowe Skarżącej od Banku na podstawie art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego oraz na podstawie łączącej Bank i A umowy. A wskazało, że przetwarza dane Skarżącej przekazane przez Bank w zakresie rachunku umowy kredytowej z dnia 19 sierpnia 2013 r., wprowadzonej do zbioru danych A w dniu (…) września 2013 r. A również wyjaśniło, że przetwarza dane osobowe Skarżącej związane z przedmiotowym zobowiązaniem w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 Prawa bankowego ze względu na przekazanie przez Bank do A informacji o spełnieniu warunków, o których mowa w tym przepisie dających podstawę do przetwarzania danych bez zgody Skarżącej. A wskazało, że dane te będą przetwarzane w ww. celu przez okres 5 lat od dnia wygaśnięcia zobowiązania, zgodnie z art. 105a ust. 5 ustawy Prawo bankowe, a w przypadku przedmiotowego zobowiązania, jako datę wygaśnięcia zobowiązania Bank wskazał (…) marca 2019 r. A również wyjaśniło, że ani Bank nie zwracał się do A z wnioskiem o usunięcie danych Skarżącej, ani Skarżąca nie występowała z wnioskiem w tym zakresie (dowód: wyjaśnienia A z dnia (…) kwietnia 2022 r. oraz załączona do wyjaśnień Banku z dnia (…) czerwca 2022 r. umowa dotycząca przekazywania danych).
  5. Bank wyjaśnił, że pismo z informacją o zamiarze przetwarzania danych Skarżącej na podstawie art. 105a ust. 3 Prawa bankowego wysłał listem poleconym w dniu (…) września 2015 r. i od tej daty Bank liczy upływ 30-dniowego terminu z dodaniem jeszcze 7 dni na doręczenie korespondencji do Skarżącej. Bank przedstawił dowód nadania przedmiotowej korespondencji. Bank podkreślił, że ustawodawca nie stworzył żadnych wymogów formalnych, co do sposobu i treści poinformowania klienta o zamiarze przetwarzania jego danych na podstawie art. 105a ust. 3 Prawa bankowego, jednakże sposób powinien umożliwić zweryfikowanie faktu poinformowania klienta  o zamierzonym przetwarzaniu lub potwierdzenie, że klientowi umożliwiono zapoznanie się z taką informacją. Bank w treści złożonych wyjaśnień wskazał, że nie posiada umowy ze względu na jej sprzedaż w dniu (…) marca 2019 r. do P., zarządzanego przez K. S.A. z siedzibą w Z. przy (…). Bank wskazał, że Skarżąca nie wystąpiła z roszczeniem względem Banku, a Bank nie wystąpił i nie zamierza wystąpić wobec Skarżącej z żadnym roszczeniem (dowód: wyjaśnienia Banku z dnia (…) kwietnia 2022 r. wraz z załącznikami).

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych, zwany dalej także Prezesem UODO, zważył, co następuje.

W pierwszej kolejności wskazać należy, że  RODO, określa legalność przetwarzania danych osobowych. Każda z przesłanek z art. 6 ust. 1 RODO ma charakter autonomiczny  i niezależny, co oznacza, że spełnienie jednej z nich stanowi w danym przypadku o zgodności  z prawem przetwarzania danych osobowych. Podkreślić zatem należy także, że zgoda osoby, której dane dotyczą nie jest jedyną podstawą uprawniającą do przetwarzania jej danych osobowych (lit. a). Proces przetwarzania danych będzie zgodny z przepisami ustawy również wtedy, gdy administrator danych wykaże spełnienie choćby jednej przesłanki  z wspomnianego art. 6 ust. 1 RODO, w tym, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (lit. f).

Co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank w A może być obecnie art. 6 ust. 1 f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Wskazania ponadto wymaga, że przetwarzanie danych osobowych klientów Banku przez A odbywa się na podstawie zawartej z Bankiem umowy.

Wskazać należy że A jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja  2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego  (pkt 4).

Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 – 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś  z art. 105a ust. 3 Prawa bankowego banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja  2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Mając powyższe na uwadze wskazać należy, że choć zobowiązanie Skarżącej, wynikające z umowy nr (….) z dnia 19 sierpnia 2013 r. wobec Banku wygasło, to jak wynika ze zgromadzonego materiału dowodowego, odnośnie spłaty zadłużenia Skarżąca dopuściła się zwłoki trwającej dłużej niż 60 dni w przypadku ww. zobowiązania. Istotnym jednakże w niniejszej sprawie jest to, że Bank nie spełnił wobec niej obowiązku określonego w art. 105a pkt 3 Prawa bankowego, tj. nie poinformował jej skutecznie o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody po wygaśnięciu zobowiązania wynikającego z przedmiotowej umowy. Stwierdzić należy, że sam fakt, iż Skarżąca nie wykonała zobowiązania lub spóźniła się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jej danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym osoba, której informacje dotyczą dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec termin 30 dni, w którym instytucja oczekuje jeszcze na wykonanie zobowiązania klienta. Termin 30 dni biegnie od momentu, w którym osoba, której informacje dotyczą zostanie skutecznie poinformowany przez instytucję o zamiarze przetwarzania. Ostatecznie to bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z art. 105a ust. 3 Prawa bankowego. Z powyższego wynika zatem, iż Bank przetwarzając dane Skarżącej na warunkach określonych w ww. przepisie, musi wykazać, że Skarżąca została poinformowana o zamiarze przetwarzania ich bez jej zgody. W niniejszej sprawie Skarżąca podniosła natomiast, że okoliczności wskazywane w art. 105a ust. 3 Prawa bankowego nie zostały spełnione w związku z czym Bank nie jest uprawniony do przetwarzania jego danych osobowych w A. Bank podniósł natomiast, że ww. przesłanki, w tym poinformowanie Skarżącej o okolicznościach wskazanych w art. 105a ust. 3 Prawa bankowego zostały spełnione wskazując, że ustawodawca nie stworzył żadnych wymogów formalnych, co do sposobu i treści poinformowania klienta o zamiarze przetwarzania jego danych na podstawie art. 105a ust.3 Prawa bankowego, jednakże sposób powinien umożliwić zweryfikowanie faktu poinformowania klienta o zamierzonym przetwarzaniu lub potwierdzenie, że klientowi umożliwiono zapoznanie się z taką informacją. Podkreślenia wymaga, że brak jest innych dowodów wskazujących na prawidłowe i skuteczne poinformowanie Skarżącej o treści 105a ust. 3 Prawa bankowego niż oświadczenie Banku, pozostającego w sprzeczności z twierdzeniami Skarżącej.

Prezes Urzędu Ochrony Danych Osobowych podziela stanowisko wyrażone w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 stycznia 2022 r. w sprawie o sygn. II Sa/Wa 3584/21, zgodnie z którym cyt.: „poinformowanie adresata oświadczenia winno, z uwagi na wspomniany powyżej dodatkowy trzydziestodniowy termin na wykonanie zobowiązania, nastąpić w ten sposób, by można było ustalić początek biegu tego terminu. Dopiero bowiem bezskuteczny upływ owego trzydziestodniowego dodatkowego terminu upoważnia Bank do przetwarzania danych osobowych w oparciu o przepis art. 105a ust. 3 Prawa bankowego. Nadanie powiadomienia, o którym mowa w art. 105a ust. 3 ustawy – Prawo bankowe, listem poleconym nie pozwala – w okolicznościach niniejszej sprawy – na ustalenie początku biegu wskazanego terminu. Skoro to Bank wywodzi skutki prawne z powiadomienia strony o zamiarze przetwarzania jej danych osobowych stanowiących tajemnicę bankową bez jej zgody, to musi wykazać, że bezskutecznie upłynęło 30 dni od daty poinformowania strony o tym zamiarze. Wykazanie tej okoliczności wymaga jednak – co oczywiste – wykazania początku biegu owego trzydziestodniowego terminu” (II SA/Wa 3584/21 - Wyrok WSA w Warszawie z 2022-01-18 (nsa.gov.pl)).

Bank nie przedstawił dowodu na prawidłowe doręczenie Skarżącej dokumentu, w treści, którego zawarta była informacja o okolicznościach wskazanych w art. 105a ust. 3 Prawa bankowego, zatem okoliczność skutecznego poinformowania Skarżącej o treści art. 105a ust. 3 Prawa bankowego nie może zostać uznana za udowodnioną. Dodatkowo należy podkreślić,  że sporządzenie i wysłanie ww. pisma, nie jest równoznaczne z udowodnieniem jego prawidłowego doręczenia, skutkującego poinformowaniem Skarżącej o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jej zgody na podstawie art. 105a ust. 3 Prawa bankowego. Samo bowiem oświadczenie o wysłaniu korespondencji i przedstawienie jej kopii nie stanowi dowodu na jej dostarczenie lub poinformowanie o jej treści adresata. W tym miejscu należy wskazać, że przepisy powszechnie obowiązujące nie formułują obowiązku wysłania informacji, o której mowa w art. 105a ust. 3 Prawa bankowego w szczególnej formie. To do podmiotu informującego należy zatem wybór formy przekazania odbiorcy komunikatu,  o zamiarze przetwarzania danych osobowych bez jego zgody. Jednocześnie to podmiot informujący wywodzi z powyższego skutki prawne, zatem to on musi wykazać, że poinformował Skarżącą o zamiarze przetwarzania danych stanowiących tajemnicę bankową, bez jej zgody na podstawie art. 105a ust. 3 Prawa bankowego.

Podzielając powyższe rozważania raz jeszcze podkreślić należy, że w niniejszej sprawie nie zostały spełnione przesłanki z art. 105a ust 3 Prawa bankowego, zgodnie z którym Bank może przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy bez ich zgody w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Prezes Urzędu Ochrony Danych Osobowych, w toku prowadzonego postępowania administracyjnego, również nie stwierdził okoliczności uprawniających Bank do przetwarzania danych osobowych Skarżącej w oparciu o ww. podstawę prawną w powyższym celu, zarówno w systemach Banku jak i w systemie A. W ocenie organu odnośnie powyższego procesu przetwarzania, Bank nie legitymuje obecnie żadną przesłanką legalizującą ten proces, spośród określonych w art. 6 ust. 1 RODO.

Wskazać ponadto należy, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby Skarżąca wystąpiła z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Banku do zachowania i przetwarzania jego danych osobowych  dla celów dowodowych w związku z dochodzeniem przez Skarżącą tego roszczenia. W ocenie Prezesa UODO, brak jest zatem spełnienia wskazywanej przez Bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych Skarżącej. Przesłanka z art. 6 ust 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W związku z tym,  że przeprowadzone przez Prezesa UODO postępowanie administracyjne nie wykazało, aby Skarżąca skierowała wobec Banku jakiekolwiek roszczenie, należy stwierdzić, iż Bank przetwarza dane osobowe Skarżącego w ww. celu wyłącznie „na zapas”, aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami Skarżącego. Prezes Urzędu Ochrony Danych Osobowych podziela ponadto stanowisko Wojewódzkiego Sądu Administracyjnego  w Warszawie, odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych niezbędnego dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z dnia 11 stycznia 2017 r. w sprawie o sygn. akt II SA/Wa 1574/16 (LEX nr 2277898) orzekł, cyt.: „Przepis art. 23 ust. 1 pkt 5 u.o.d.o. na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne  w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych”.

Podkreślenia wymaga, że przy przyjęciu odmiennej interpretacji ww. przepisów, Skarżąca pozbawiona byłby ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r.  o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Zaznaczyć bowiem należy,  że przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego  i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Skarżącego mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by Skarżąca zwróciła się do Banku z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych Skarżącej przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem Skarżącej również po upływie ww. terminu.

W tym miejscu wskazać należy, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank. Koniecznym jest by podnieść, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Podkreślenia wymaga, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.

Z uwagi na to, że Bank nie wskazał roszczenia, którego zaspokojenia domaga się od Skarżącej, jak również brak jest sporu toczącego się miedzy Skarżącą, a Bankiem dotyczącego stosunku zobowiązaniowego, w ocenie Prezesa Urzędu Ochrony Danych Osobowych brak jest celu uzasadniającego przetwarzanie ww. danych osobowych Skarżącej, który stanowiłby prawnie usprawiedliwiony cel administratora w rozumieniu art. 6 ust. 1 lit. f RODO, o charakterze nadrzędnym wobec interesów lub podstawowych praw i wolności Skarżącej. Należy również wskazać, że Bank sprzedał wierzytelność wynikającą z umowy nr (…) z dnia 19 sierpnia 2013 r., więc ze względu na tę okoliczność nie ma podstaw by uznać, że przetwarzanie danych osobowych Skarżącej odbywa się w celu dochodzenia od niej istniejących roszczeń. Ponadto dla ww. procesu przetwarzania danych osobowych Skarżącej Bank nie wykazał istnienia jakiejkolwiek innej spośród przesłanek legalizujących, określonych w art. 6 ust. 1 RODO.

Wobec powyższego, kontynuowanie do chwili obecnej przetwarzania danych osobowych Skarżącej w celu obrony przed ewentualnymi, przyszłymi i niepewnymi roszczeniami, należy uznać za zbędne i niezgodne z obowiązującymi przepisami  o ochronie danych osobowych.

W tym miejscu wskazać należy, że postępowanie administracyjne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji  art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych. Wobec powyższego korzystając z uprawnienia przewidzianego  w art. 58 ust. 2 lit. c RODO, Prezes Urzędu Ochrony Danych Osobowych nakazał Bankowi zaprzestanie przetwarzania na podstawie art. 105a ust. 3 Prawa bankowego danych osobowych Skarżącej dotyczących umowy nr (…) z dnia 19 sierpnia 2013 r. w systemach własnych oraz w A w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, a także zaprzestanie przetwarzania tych danych bez podstawy prawnej w celu obrony ewentualnych roszczeń.

W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

 

print Drukuj artykuł
Podmiot udostępniający: Departament Skarg
Wytworzył informację:
user Jan Nowak
date 2022-09-14
Wprowadził informację:
user Jan Potocki
date 2025-04-30 10:12:17
Ostatnio modyfikował:
user Edyta Madziar
date 2025-05-07 14:17:18