Uzasadniony interes administratora, czyli przetwarzanie danych osobowych na zapas w świetle wyroku WSA o sygn. akt II SA/Wa 474/21

Przeglądając ostatnio sprawy, w których Prezes Urzędu Ochrony Danych Osobowych (dalej UODO) jest aktywną stroną, a które trafiły na wokandę, warte odnotowania jest uzasadnienie wyroku II SA/Wa 474/21 Wojewódzkiego Sądu Administracyjnego w Warszawie. Zasługuje ono na omówienie w związku z faktem, iż przełamuje dotychczasową linię orzeczniczą w podobnych sprawach. Zatem warto się zastanowić, czy mamy do czynienia w wyłomem, który zmieni dotychczasową praktykę, czy może sprawa znajdzie swój koniec w orzeczeniu prostującym Naczelnego Sądu Administracyjnego, gdyż skarga kasacyjna została w tej sprawie złożona przez Prezesa UODO. Aby naświetlić kontekst przybliżę parę szczegółów z powyższej sprawy. Mianowicie istotne jest wspomnienie, że WSA uwzględniając skargi Banku oraz BIK, które to połączył do łącznego rozpoznania i rozstrzygnięcia, zwrócił uwagę mi.in. na nieprawidłowości w działaniu organu rozstrzygającego, zarówno w kontekście ustalenia stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa. Sąd zaznaczył, że podniesione motywy decyzji UODO z dnia 15 grudnia 2020 r. nr DS.523.70.2020.FT.MPI/103960, 103959, 103958 w przedmiocie usunięcia przez Bank i BIK danych osobowych Uczestnika, nie zostały wyjaśnione, a przywołana argumentacja nie jest wyczerpująca. Uczestnik postępowania, który pierwotnie skarżył się do UODO na postępowanie Banku i BIK w listopadzie 2018 r., grudniu, 2018 r., styczniu 2019 r. oraz marcu 2019 r. wystąpił do Banku z wnioskami o udzielenie kredytu. W związku z powyższym Bank pozyskał dane osobowe Uczestnika bezpośrednio od niego. Obsługując złożone wnioski, Bank przekazała do BIK, na podstawie art. 105 ust 4 oraz art. 105a ust. 1 ustawy Prawo bankowe oraz na podstawie łączącej Bank i BIK umowy, dane osobowe Uczestnika. BIK poinformował, że przetwarza dane osobowe pochodzące z zapytań kredytowych, a zatem także dane Uczestnika, przez okres 12 miesięcy w celu oceny zdolności kredytowej i analizy ryzyka kredytowego danego klienta. Jednocześnie przetwarza zebrane dane w celu budowy modeli scoringowych (narzędzia do oceny zdolności kredytowej i analizy ryzyka) przez okres 5 lat od dnia złożenia zapytania, przez okres 10 lat w celu statystycznym i analiz oraz w celu rozpatrywania ewentualnych reklamacji i roszczeń do momentu przedawnienia potencjalnych roszczeń. Sąd mając na uwadze powyższe stwierdził, że Prezes UODO nie zakwestionował przetwarzania danych osobowych przez Bank i BIK w związku ze złożeniem i rozpatrzeniem wniosków kredytowych Uczestnika. Natomiast idąc dalej wskazał, że poza wyjaśnieniami Skarżących, Prezes UODO nie ustalił z urzędu innych wymaganych przez prawo celów przetwarzania, jak również nie uwzględnił w decyzji wszystkich okoliczności przetwarzania wskazanych przez Bank. UODO nie wziął pod uwagę tych celów przetwarzania danych i podstaw prawnych ich przetwarzania w opisanym stanie rzeczy. A co w ocenie UODO okazało się najbardziej kontrowersyjne, Sąd wskazał, że w stanie faktycznym sprawy zasadne było rozważenie zwrócenia się do Komisji Nadzoru Finansowego o zajęcie stanowiska w rozpatrywanej kwestii. Idąc dalej Sąd uznał za zasadne wskazanie, że w tym zakresie doszło do naruszenia przepisu 7b Kpa, polegającego na zaniechaniu zwrócenia się do Komisji Nadzoru Finansowego, jako organu właściwego w sprawach związanych z badaniem zdolności kredytowej i analizą ryzyka kredytowego, oraz budowy modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych. Zdaniem sądu to na UODO ciążył obowiązek podjęcia wszelkich czynności zmierzających do wyjaśnienia sprawy i wyczerpującego zbadania wszystkich okoliczności, a zatem podjęcia współdziałania z Komisją Nadzoru Finansowego. Sąd argumentując takie podejście wskazał, że przyjęcie takiego rozstrzygnięcia o konieczności wykasowania danych przez Bank i BIK może powodować powstanie niepewności na rynku finansowym. WSA uwzględniając treść skarg przychylił się także do zarzutu naruszenia prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f) RODO w związku z art. 117 §2 i §2 art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny. Naruszenie to miało polegać na błędnym przyjęciu przez UODO, że przechowywanie danych Uczestnika przez okres przedawnienia ewentualnych roszczeń nie stanowi podstawy prawnej w rozumieniu art. 6 ust. 1 lit f) RODO, czyli prawnie uzasadnionego interesu administratora.

Mając na uwadze powyższe zdaniem Urzędu Ochrony Danych Osobowych stanowisko zawarte w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie przetwarzania danych osobowych klienta banku godzi w niezależność i autonomię organu nadzorczego: „UODO jest zaniepokojony niebezpiecznym kierunkiem w jakim zmierza dokonana przez sąd administracyjny ocena stosowania przepisów Kodeksu postępowania administracyjnego w kontekście rozstrzygania przez organ nadzorczy spraw z zakresu ochrony danych osobowych, niezgodna z treścią i celem przepisów prawa Unii Europejskiej, jakie stanowią przepisy RODO. Dlatego też od tego wyroku złożona została skarga kasacyjna do Naczelnego Sądu Administracyjnego. Zaprezentowany przez WSA pogląd o konieczności zwrócenia się przez organ nadzorczy w sprawie z zakresu ochrony danych osobowych, należącej do jego wyłącznej kognicji, do Komisji Nadzoru Finansowego o opinię, godzi w niezależność i autonomię tego organu, zagwarantowaną mu przepisami RODO, zgodnie z którymi każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień działa w sposób w pełni niezależny.” W dalszej części oświadczenia UODO wskazuje, że niezależność powinna oznaczać brak podległości organizacyjnej, ochronę przed uleganiem wpływom czy naciskom ze strony innych organów oraz swobodę w podejmowaniu rozstrzygnięć nadzorczych. Jednym z wymogów, jakie stanowić mają gwarancję niezależności organu nadzorczego, jest niepodleganie wpływom zewnętrznym, a także zakaz zwracania się o instrukcje oraz przyjmowania instrukcji od innych podmiotów. Stanowisko Prezesa UODO jest jasne, że zaprezentowany przez WSA pogląd przeczy idei RODO w zakresie powołanej fundamentalnej zasady niezależności organu nadzorczego.

Podsumowując, wyrok WSA jest niezmiernie interesujący, gdyż może wpłynąć na kształtowanie się linii orzeczniczej w podobnych sprawach, a zatem jeżeli zostanie on potwierdzony przez NSA, może w znaczący sposób wpłynąć na kwestię przetwarzania danych osobowych choćby w oparciu o art. 6 ust. 1 lit. f) RODO.

Autor: Radosław Aniszczyk