Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Tamara Dziełakowska (spr.) Sędziowie: Sędzia NSA Jan Paweł Tarno Sędzia del. WSA Dariusz Chaciński Protokolant starszy asystent sędziego Paweł Konicki po rozpoznaniu w dniu 27 sierpnia 2019 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] S.A. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 12 lipca 2017 r. sygn. akt II SA/Wa 2221/16 w sprawie ze skargi [...] S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2016 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od [...] S.A. z siedzibą w W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 720 (siedemset dwadzieścia) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Zaskarżonym wyrokiem z 12 lipca 2017 r. Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt II SA/Wa 2221/16) oddalił skargę [...] S.A. z siedzibą w W. (zwanego dalej Bankiem lub skarżącym) na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] października 2016 r., utrzymującą w mocy decyzję własną z [...] lutego 2016 r. w przedmiocie przetwarzania danych osobowych.
W uzasadnieniu powyższego wyroku Sąd pierwszej instancji wskazał, że 23 stycznia 2014 r. M. S. za pośrednictwem strony internetowej złożył wniosek kredytowy. W dniach 2 października 2013 r. i 14 maja 2014 r. Bank dokonał weryfikacji wiarygodności zdolności kredytowej w [...] S.A. z siedzibą w W. (zwanym dalej [...]) na podstawie złożonych przez wnioskodawcę pisemnych upoważnień - "Zgoda na weryfikację (w [...] i innych bazach)", udostępniając jednocześnie dane osobowe wnioskodawcy do [...]. Z wyjaśnień przedłożonych przez Bank wynika, że 19 maja 2014 r. - osobiście w oddziale Banku oraz 11 lipca 2014 r. - telefonicznie za pośrednictwem infolinii M. S. złożył wniosek o usunięcie zapytań kredytowych dokonanych przez Bank w [...]. W odpowiedzi Bank uznał, że nie ma podstaw prawnych do usunięcia wskazanych zapytań. Z kolei [...] w złożonych wyjaśnieniach wskazał, iż przetwarza dane przekazane przez Bank w związku ze złożonymi zapytaniami kredytowymi (trzy: 2 października 2013 r., 23 stycznia 2014 r. i 14 maja 2014 r. ) i zarządzaniem klientem (dwa: 7 stycznia 2014 r. i 20 lutego 2014 r.). Informacja o liczbie i częstotliwości składanych wniosków przez klienta jest z kolei istotną informacją w procesie oceny zdolności i analizy ryzyka kredytowego dokonywanej przed udzieleniem kredytu danej osobie.
M. S. wniósł skargę do Generalnego Inspektora Danych Osobowych na odmowę usunięcia jego danych osobowych przetwarzanych przez [...] w zakresie zapytań kredytowych z 2 października 2013 r., 23 stycznia 2014 r., 14 maja 2014 r.
Decyzją z [...] lutego 2016 r. Generalny Dyrektor Ochrony Danych Osobowych na podstawie art. 104 § 1 K.p.a. oraz art. 12 ust. 2, art. 18 ust. 1 pkt 6, art. 22, art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2015 r., poz. 2135 ze zm.) nakazał [...] S.A. w W. usunięcie danych osobowych M. S. w zakresie zapytań kredytowych z 2 października 2013 r., 23 stycznia 2014 r., 14 maja 2014 r., przetwarzanych przez [...] S.A. w W.
Wniosek o ponowne rozpatrzenie sprawy złożył Bank.
Decyzją z [...] października 2016 r. Generalny Inspektor Ochrony Danych Osobowych na podstawie art. 138 § 1 pkt 1 K.p.a. oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 6, art. 22 oraz art. 23 ust. 1 pkt 2, art. 26 ust. 1 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych utrzymał w mocy zaskarżoną decyzję. Jak wskazał organ, przekazanie danych osobowych przez Bank do [...] nastąpiło w związku z art. 105 ust. 4 Prawa bankowego i dla legalności tego udostępnienia zgoda M. S. nie była wymagana. Art. 105 ust. 4 Prawa bankowego, na którą powołuje się [...], jedynie ogólnie reguluje prawo banków do oceny zdolności kredytowej i oceny ryzyka kredytowego. Nie stanowi natomiast o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych. Nie wynika z niego umocowanie dla [...] do przetwarzania danych osobowych pozyskanych uprzednio w ramach zapytań kredytowych, po dokonaniu weryfikacji zdolności kredytowej osoby ubiegającej się o kredyt. Uznanie bowiem takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej, której nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami. Ponadto z wyjaśnień Banku wynika, że cele, do których dane te są wykorzystywane przez [...] - analizy statystyczne wykorzystywane przy sporządzaniu raportów, służą przygotowaniu i realizacji oferty proponowanej przez [...]. Związane są więc z celem głównym gromadzenia danych przez [...] nie zaś Bank i są związane z jego działalnością podstawową, dla której dane te są pozyskiwane, a ponadto wpływają na sytuację wnioskodawcy (jego zdolność kredytową). Nie są to więc cele jedynie statystyczne, o których mowa w art. 26 ust. 2 pkt 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Zdaniem organu, przetwarzanie danych osobowych związanych z zapytaniami, które nie zakończyły się przyznaniem kredytu, dla celów realizacji działań banków, w tym oceny zdolności kredytowej oraz użyteczności tych danych w modelach scoringowych nie może mieć miejsca w oparciu o art. 23 ust. 1 pkt 5 ustawy. Takie działanie prowadziłoby bowiem do rozszerzającej wykładni art. 23 ust. 1 pkt 5 kontrastującej z dyspozycją art. 26 ust. 1 pkt 4 ustawy. Cel, jakim jest weryfikacja danych wnioskodawcy w [...] w kontekście jego zdolności kredytowej, został osiągnięty niezależnie od faktu, czy proces taki zakończył się zawarciem umowy o udzielenie kredytu. Zebrane dane powinny natomiast zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora. Gromadzenie zaś takich danych w wieloletniej perspektywie "na przyszłość" nie znajduje oparcia w przepisach ustawy.