Archiwa Wydanie 2024/10 - ISPB.pl - Instytut Szkoleń Prawa Bankowego

Przetwarzanie danych osobowych niedoszłego kredytobiorcy

Monitor Prawa Bankowego 2024/10 Październik

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 27 maja 2024 r. (II SA/Wa 2264/23)

W art. 105a ust. 3-7 p.b. nie ustanowiono zamkniętego katalogu przypadków, gdy można przetwarzać dane osobowe występującego o kredyt bez jego zgody, lecz jedynie warunki czynienia tego, gdy umowę kredytu zawarto.

Zaskarżoną decyzją – przywołując art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L nr 119, s. 1, ze zm.), dalej: „RODO”, wobec skargi R.J. (dalej: „Wnioskodawca”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank polegające na czynieniu tego bez podstawy prawnej w zakresie zapytania kredytowego z [...] grudnia 2021 r. niezakończonego udzieleniem kredytu – nakazano Bankowi zaprzestania przetwarzania danych osobowych Wnioskodawcy w zakresie wynikającym z zapytania kredytowego z [...] grudnia 2021 r. (dalej: „Zapytanie”). W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy. Do organu wpłynęła skarga Wnioskodawcy.

W toku postępowania ustalono następujący stan faktyczny:

- Wnioskodawca w skardze inicjującej postępowanie wskazał, że Bank przetwarza jego dane osobowe w związku z Zapytaniem (…) r.; zwrócił się do Banku z żądaniem zaprzestania przetwarzania swoich danych osobowych wynikających z Zapytania; w piśmie tym cofnął zgodę na przetwarzanie danych; w odpowiedzi Bank – pismem z [...] maja 2022 r. – odmówił realizacji żądania oraz wskazał, że dane Wnioskodawcy będą przetwarzane przez 5 lat; Wnioskodawca wystąpił więc o nakazanie Bankowi usunięcia swoich danych osobowych i zaprzestania ich dalszego przetwarzania (…),

- wedle stanowiska Banku: pozyskał on dane osobowe bezpośrednio od Wnioskodawcy [...] grudnia 2021 r. w związku ze złożeniem wniosku kredytowego; pozyskano dane osobowe Wnioskodawcy w zakresie: dane identyfikacyjne (imię i nazwisko, nazwisko rodowe, nazwisko panieńskie matki, numer PESEL, data urodzenia, obywatelstwo, rodzaj, seria, numer, data wydania i data ważności dokumentu tożsamości oraz jego kserokopia), dane kontaktowe (adres zameldowania, adres zamieszkania/korespondencyjny, numer telefonu, adres e-mail), dane dotyczące sytuacji rodzinnej i finansowej (stan cywilny, liczba dzieci, informacja o rozdzielności majątkowej, wykształcenie, informacje o źródle i wysokości dochodów – w tym dokumenty potwierdzające ich wysokość – dane kontaktowe i identyfikacyjne zakładu pracy, zawód, okres zatrudnienia) i dane finansowe związane z wnioskowanym kredytem, w tym kwota i rodzaj produktu kredytowego oraz cel jego udzielenia; do zawarcia umowy kredytu nie doszło, Wnioskodawca bowiem zrezygnował z kredytu,

- wedle stanowiska Banku: Bank obecnie przetwarza dane osobowe Wnioskodawcy w związku z Zapytaniem na podstawie art. 6 ust. 1 lit. c w zw. z art. 6 ust. 1 lit. f RODO – z uwagi na konieczność spełniania następujących wymogów: 1) art. 70 ust. 1 ustawy z 29.08.1997 r. – Prawo bankowe (dalej: „p.b.”), w związku z którym Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, a kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności; 2) art. 70a i art. 105a p.b. w związku z koniecznością zagwarantowania możliwości uzyskania wyjaśnień dotyczących dokonanej przez Bank oceny zdolności kredytowej (art. 70a p.b.) lub w związku z koniecznością zapewnienia prawa do otrzymania stosownych wyjaśnień Banku co do podstaw decyzji podejmowanych w trybie art. 105a ust. 1 p.b.; 3) w zakresie stosowania modeli wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26.06.2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz.U. UE L nr 176, s. 1, ze zm., dalej: „rozporządzenie nr 575/2013”) w zw. z art. 105 ust. 4 pkt 1 oraz art. 105a ust. 4 p.b., tj. m.in. wymogów kapitałowych określonych w część III ww. rozporządzenia: art. 147 ust. 5 w zw. z art. 147 ust. 2 lit. d (dotyczących metod klasyfikowania ekspozycji do poszczególnych kategorii ekspozycji) lub art. 171 (dotyczących klasyfikacji do klas lub pul); 4) w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych (...); 5) oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego, m.in. na podstawie art. 105a ust. 1-1c i 105a ust. 4 p.b. w zw. powołanymi powyżej przepisami rozporządzenia nr 575/2013, a także w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T określonymi powyżej; 6) konieczności uwzględnienia możliwości dochodzenia przez skarżącego od Banku ewentualnych roszczeń związanych z przedmiotem niniejszego postępowania, tj. na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 k.c. i art. 82 RODO oraz związanej z tym konieczności umożliwienia Bankowi obrony przed ewentualnymi roszczeniami (art. 6 ust. lit. f RODO),

- pismem z [...] lutego 2022 r. skarżący zwrócił się z wnioskiem o usunięcie zapytania kredytowego zrealizowanego w BIK S.A. przez Bank w związku z procesowaniem wniosku kredytowego z [...] grudnia 2021 r. (…),

- Bank wskazał również, że nie posiada informacji, aby skarżący wystąpił w stosunku do Banku z roszczeniem; dodatkowo Inspektor Ochrony Danych Banku nie otrzymał informacji o innych, nowych zgłoszeniach reklamacyjnych zgłoszonych przez skarżącego i dotyczących przedmiotu niniejszego postępowania, poza zgłoszeniami wskazanymi i dołączonymi do pisma Banku z [...] lipca 2022 r. (...); do dnia sporządzenia niniejszego pisma Bank nie wystąpił w stosunku do Skarżącego z roszczeniem w związku z wnioskiem kredytowym z [...] grudnia 2021 r.,

- obowiązki administratora danych regulują przepisy RODO, do których należy (...)