Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w związku z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w związku z art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016,  str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2018 r., poz. 2187 z późn. zm.),  po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P. L., reprezentowanego przez pełnomocnika, Panią B. D. z Kancelarii (…), na przetwarzanie przez Bank (…) S.A. jego danych osobowych, stanowiących tajemnicę bankową w B. S.A., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE   

Do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana P. L. (zwanego dalej: Skarżącym) reprezentowanego przez pełnomocnika, Panią B.D. z Kancelarii (…) na przetwarzanie przez Bank (…) S.A. (zwany dalej: Bankiem) jego danych osobowych, stanowiących tajemnicę bankową w B. S.A. (zwanym dalej: B.).

W treści skargi Skarżący wskazał, iż żąda przywrócenia stanu zgodnego z prawem i podjęcia przez organ ochrony danych działań zmierzających do zaprzestania przetwarzania przez Bank jego danych osobowych do celów oceny zdolności kredytowej i analizy ryzyka kredytowego w B., jako  że zobowiązanie łączące go z Bankiem wygasło, a zadłużenie zostało w całości spłacone. Powyższe żądanie Skarżący uzasadniał faktem, iż Bank nie wypełnił wobec niego obowiązku wynikającego  z dyspozycji art. 105a ust. 3 ustawy Prawo bankowe i nie poinformował o zamiarze przetwarzania jego danych osobowych po wygaśnięciu zobowiązania, w związku z nieterminowym spłacaniem przez niego zaległości wynikających z umów kredytowych, co czyni działanie Banku bezprawnym. Jednocześnie Skarżący wskazał, że Bank – pomimo skierowania do niego bezpośrednio wniosku o przeniesienie danych osobowych do części statystycznej B. – ustosunkował się negatywnie do tak sformułowanego żądania.

W celu ustalenia okoliczności faktycznych istotnych dla rozstrzygnięcia niniejszej sprawy, Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne. Na podstawie zebranego w sprawie materiału dowodowego ustalił następujący stan faktyczny:

1. Bank pozyskał dane osobowe Skarżącego w związku z zawarciem pomiędzy ww. stronami umowy (…) z dnia 12 lipca 2007 r. oraz umowy (…) z dnia 12 października 2007 r.
2. Bank, w okresie obowiązywania ww. umów, przetwarzał dane osobowe Skarżącego  na podstawie art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Jednocześnie, działając na podstawie  art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w związku  z art. 105a ust. 4 ustawy Prawo bankowe, Bank udostępnił dane osobowe Skarżącego do B., co miało miejsce odpowiednio: w dniu 1 sierpnia 2007 r. – w zakresie wynikającym z umowy (…) oraz w dniu 5 listopada 2007 r. – w zakresie wynikającym z umowy (…).
3. Skarżący dopuścił się zwłoki w spłacie zobowiązań wynikających z ww. umów, wynoszącej powyżej 60 dni. Całkowitej spłaty zadłużenia Skarżący dokonał ostatecznie z dniem 29 listopada 2011 r. oraz 12 grudnia 2011 r.
4. Wobec nieterminowości w spełnieniu świadczeń wynikających z zawartych umów, Bank przetwarzał w B., do celów oceny zdolności kredytowej i analizy ryzyka kredytowego, dane osobowe Skarżącego bez jego zgody również po wygaśnięciu przedmiotowych zobowiązań. Jako podstawę prawną takiego działania, w swych pisemnych wyjaśnieniach z dnia 9 czerwca 2015 r., Bank wskazał art. 105a ust. 3 ustawy Prawo bankowe. Praktyka Banku  nie mieściła się jednak w dyspozycji powołanego przepisu prawa albowiem Bank, wbrew argumentacji przedstawionej w postępowaniu przed Prezesem Urzędu Ochrony Danych Osobowych, nie zawiadomił należycie Skarżącego o zamiarze takiego przetwarzania danych i nie przedstawił na powyższą okoliczność żadnych, wiarygodnych dowodów.
5. Pismami z dnia 4 czerwca 2014 r., 24 lipca 2014 r. oraz 1 września 2014 r. Skarżący zwrócił się do Banku z żądaniem zaprzestania przetwarzania jego danych osobowych wynikających obu ww. umów kredytowych do celów oceny zdolności kredytowej i analizy ryzyka kredytowego oraz przeniesienie ich do części statystycznej B. Swój wniosek Skarżący motywował niespełnieniem przez Bank jednej z przesłanek wymienionych w 105a ust. 3 ustawy Prawo bankowe, uzasadniających takie przetwarzanie – obowiązku poinformowania go przez Bank o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnicę bankową, bez jego zgody, przez okres 5 lat od wygaśnięcia zobowiązania. Bank nie uwzględnił żądania Skarżącego, o czym poinformował go pismami z dnia: 22 lipca 2014 r., 26 sierpnia 2014 r. oraz 6 października 2014 r.
6. W związku z upływem 5 lat od chwili wygaśnięcia ww. zobowiązań, Bank dokonał w dniach 30 listopada 2016 r. oraz 13 grudnia 2016 r. korekty w B. polegającej na tym, iż informacje dotyczące umowy (…) oraz umowy (…) nie są już dłużej prezentowane w raportach służących ocenie ryzyka kredytowego.
7. Aktualnie Bank przetwarza dane osobowe Skarżącego wynikające z ww. umów kredytowych  na podstawie art. 6 ust. 1 lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119  z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2) w związku z art. 118 ustawy  z dnia 23 kwietnia 1964 r. Kodeks cywilny, w celach związanych dochodzeniem roszczeń  i obroną przed ewentualnymi roszczeniami związanymi z realizacją umów zawartych przez Skarżącego z Bankiem.  
8. W chwili obecnej, B. przetwarza przekazane mu przez Bank dane osobowe Skarżącego w zakresie związanym z umową (…) z dnia 12 lipca 2007 r. na podstawie art. 105a ust. 4 i 5 w związku z art. 105 ust 4 ustawy Prawo bankowe. Rachunek umowy posiada w B. status rachunku zamkniętego i przetwarzany jest wyłącznie w celu stosowania metod wewnętrznych oraz innych metod i modeli.

W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”.

W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej „ustawą 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.

Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca  1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel,  Lex., el/2012).

W świetle przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest  zgodne z prawem, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 Rozporządzenia 2016/679 (stanowiącym odpowiednik obowiązującego do dnia 28 maja 2018 r.  art. 23 ust. 1 ustawy 1997), tj. gdy:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych  w jednym lub większej liczbie określonych celów (analogicznie w art. 23 ust. 1 pkt 1 ustawy 1997);

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (analogicznie w art. 23 ust. 1 pkt 3 ustawy 1997);

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego  na administratorze (analogicznie w art. 23 ust. 1 pkt 2 ustawy 1997);

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,  lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym  lub w ramach sprawowania władzy publicznej powierzonej administratorowi (analogicznie w art. 23 ust. 1 pkt 4 ustawy 1997) bądź wreszcie;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (analogicznie w art. 23 ust. 1 pkt 5 ustawy 1997).

Przesłanki te odnoszą się do wszelkich form przetwarzania danych, w tym również  do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich.

Odnosząc się natomiast do przedmiotu niniejszej sprawy należy wyjaśnić, że aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2018 r., poz. 2187 z późn. zm.), zwane dalej: „Prawem bankowym”.

Dokonując badania legalności udostępnienia danych osobowych Skarżącego przez Bank  na rzecz B., w związku z zadłużeniem wynikającym z umowy (…) z dnia 12 lipca 2007 r., a nadto umowy (…) z dnia 12 października 2007 r.,  Prezes Urzędu Ochrony Danych Osobowych wskazuje, że B. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania m.in.: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, a nadto innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.

Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np. B.), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane (…) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zawarte w B. służyć mają wypełnianiu przez banki, jako instytucje zaufania publicznego, ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, a także koniecznością należytego badania zdolności kredytowej, od której istnienia – zgodnie z art. 70 ust. 1 Prawa bankowego – bank uzależnia udzielenie kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań  i wiarygodność kredytowa, jest niezwykle istotnym elementem działalności banku. Biuro Informacji Kredytowej zostało utworzone właśnie w celu zmniejszenia ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych oraz wspomagania decyzji banków dotyczących udzielania kredytu.

Jak ustalił Prezes Urzędu Ochrony Danych Osobowych, przekazanie danych osobowych Skarżącego przez Bank do B. nastąpiło w dniu 1 sierpnia 2007 r. – w zakresie wynikającym z umowy (…) oraz w dniu 5 listopada 2007 r. – w zakresie wynikającym z umowy (…), a zatem jeszcze w okresie obowiązywania uprzedniej regulacji prawnej z zakresu ochrony danych osobowych. Udostępnienie danych Skarżącego do B. znajdowało przy tym oparcie w przesłance wymienionej w art. 23 ust. 1 pkt 2 ustawy 1997, a dla legalności tego udostępnienia, stosownie do treści art. 105 ust. 4 Prawa bankowego, zgoda Skarżącego nie była wymagana.

Jednocześnie jednak organ nadzorczy wskazuje, iż rację ma Skarżący podnosząc, że Bank przetwarzał w B. jego dane osobowe wynikające z przedmiotowych zobowiązań, po ich wygaśnięciu, w sposób bezprawny. Na podstawie zgromadzonego w niniejszej sprawie materiału dowodowego,  w tym zwłaszcza wyjaśnień Banku i przedstawionej na ich poparcie dokumentacji w postaci wydruków z systemu informatycznego Banku, nie sposób jest bowiem jednoznacznie stwierdzić, że ww. należycie powiadomił Skarżącego o zamiarze przetwarzania jego danych osobowych, stanowiących tajemnicę bankową, do celów oceny zdolności kredytowej i analizy ryzyka kredytowego również po wygaśnięciu zobowiązania kredytowego. Taki zaś obowiązek ciążył na Banku, jako administratorze danych osobowych, stosownie do brzmienia art. 105a ust. 3 Prawa bankowego. W myśl powołanej tu regulacji, banki mogą przetwarzać informacje stanowiące tajemnicę bankową, dotyczące osób fizycznych  po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. O ile nie budzi wątpliwości, iż Skarżący popadł w zwłokę ze spłatą zadłużenia wynikającego z umowy (…) oraz umowy (…) – okoliczności tej nie negował on bowiem na żadnym etapie postępowania – o tyle nie można uznać, że do Skarżącego dotarła informacja o planowanej kontynuacji przetwarzania jego danych osobowych po uregulowaniu wierzytelności przysługujących Bankowi względem Skarżącego. Dowodem na powyższą okoliczność z pewnością nie może być przedstawiony przez Bank wydruk z bankowego systemu informatycznego. Wskazać należy, iż widniejąca na nim data, co do której Bank wyjaśnił, iż tożsama ona jest z datą wysyłki korespondencji zawierającej pouczenie Skarżącego o treści art. 105a ust. 3 Prawa bankowego, może odpowiadać w rzeczywistości jedynie dacie wygenerowania pisma. Wobec braku dowodu nadania pisma w placówce operatora pocztowego, jak i braku potwierdzenia jej odbioru, bądź zwrotu do nadawcy wobec niepodjęcia przez adresata – nie sposób jest uznać, że Bank dopełnił spoczywającego na nim obowiązku. Tym samym, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, przetwarzanie danych osobowych Skarżącego po wygaśnięciu ww. zobowiązań, tj. od dnia 29 listopada 2011 r. do dnia 29 listopada 2016 r. (w stosunku do Umowy (…)) oraz od dnia 12 grudnia 2011 r. do dnia 12 grudnia 2016 r. (w stosunku do umowy (…)) nie znajdowało oparcia w obowiązujących przepisach prawa.

Niezależnie jednak od powyższego wyjaśnić należy, że w chwili obecnej – z uwagi na upływ 5 lat od chwili wygaśnięcia ww. zobowiązań oraz dokonanie przez Bank w dniach: 30 listopada 2016 r. oraz 13 grudnia 2016 r. korekty w B. polegającej na tym, iż informacje dotyczące ww. umów kredytowych nie są już dłużej prezentowane w raportach służących ocenie ryzyka kredytowego – za bez znaczenia w niniejszej sprawie uznać należy fakt niedopełnienia wobec Skarżącego obowiązku informacyjnego, wynikającego z przepisu art. 105a ust. 3 Prawa bankowego. Jakkolwiek bowiem działanie Banku faktycznie naruszało w tym zakresie przepisy o ochronie danych osobowych, to jednak w oparciu o zgromadzony w sprawie materiał dowodowy należy uznać, iż stan niezgodności przetwarzania danych osobowych z prawem został usunięty i nie jest już obecnie kontynuowany.

Jak wynika z poczynionych ustaleń faktycznych, B. przetwarza aktualnie dane osobowe Skarżącego wynikające z umowy (…) z dnia 12 lipca 2007 r. wyłącznie w celu stosowania wewnętrznych metod statystycznych, do czego uprawniony jest na podstawie art. 105a ust. 4 Prawa bankowego, zgodnie z którym Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3. Jednocześnie, jak wynika z brzmienia art. 105a ust. 5 Prawa bankowego, przetwarzanie takie może być wykonywane przez okres nie dłuższy niż 12 lat od dnia wygaśnięcia zobowiązania – w przypadku B. oraz nie dłużej niż przez okres 5 lat od dnia wygaśnięcia zobowiązania – w przypadku Banku.

Co zaś dotyczy Banku, przetwarza on dane osobowe Skarżącego wyłącznie w celach dowodowych, wynikających z okresu przedawnienia roszczeń. Tym samym podstawę przetwarzania danych osobowych Skarżącego przez Bank stanowi obecnie art. 6 ust. 1 lit f) Rozporządzenia 2016/679 w związku z art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny.

W związku z poczynionymi ustaleniami wskazać należy, że dalsze prowadzenie przez Prezesa Ochrony Danych Osobowych postępowania administracyjnego, zainicjowanego skargą  na nieprawidłowości w przetwarzaniu danych osobowych Skarżącego przez Bank, ukierunkowanego na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy 1997 jest niezasadne.

Stosownie do brzmienia ww. przepisu, w przypadku naruszenia przepisów  o ochronie danych osobowych Prezes UODO z urzędu lub na wniosek osoby zainteresowanej,  w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień (1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie  lub nieudostępnienie danych osobowych (2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (4), zabezpieczenie danych lub przekazanie ich innym podmiotom (5) lub usunięcie danych osobowych (6). Z brzmienia art. 18 ust. 1 ustawy 1997, a zarazem z definicji decyzji administracyjnej – jako aktu rozstrzygającego w sposób władczy o prawach i obowiązkach stron postępowania w ustalonym  i aktualnym na chwilę jego wydania stanie faktycznym i prawnym – wynika, że organ ochrony danych osobowych nie dokonuje oceny zdarzeń przeszłych, nie kontynuowanych w chwili orzekania. Decyzja Prezesa UODO jest bowiem instrumentem służącym przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych, realizowanym w chwili wydania decyzji.

Biorąc pod uwagę powyższe, należy stwierdzić, iż obecnie nie ma podstaw dla sformułowania nakazu, o którym mowa w art. 18 ust. 1 ustawy, albowiem dane osobowe Skarżącego nie są już obecnie przetwarzane w B. do celów oceny zdolności kredytowej i analizy ryzyka kredytowego,  a jedynie do celów stosowania metod statystycznych, co zgodne jest z obowiązującymi przepisami prawa i nie wymaga zgody Skarżącego. Z uwagi na powyższe, postępowanie administracyjne  w niniejszej sprawie należało zakończyć decyzją o odmowie uwzględnienia wniosku Skarżącego.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku  o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy,  w tym zwolnienie od kosztów sądowych.