Czy zaprzestanie przetwarzania danych oznacza bezprzedmiotowość postępowania administracyjnego? Czy jednak stwierdzając, że doszło do nieprawidłowego przetwarzania danych osobowych, PUODO może skorzystać z uprawnień naprawczych, nawet jeśli administrator wyprostował problemy? I, wcale nie na marginesie: czy pożyczkodawca może przetwarzać dane klienta po wygaśnięciu zobowiązania, bez jego zgody?
nieprawomocny wyrok WSA w Warszawie z 24 marca 2021 r. (II SA/Wa 1336/20)
Okoliczność zaprzestania bezprawnego przetwarzania danych osobowych przez administratora danych (podmiot przetwarzający) przed wydaniem rozstrzygnięcia przez organ ochrony danych osobowych nie powoduje bezprzedmiotowości postępowania w rozumieniu art. 105 § 1 kpa Organ może bowiem skorzystać z przysługujących mu uprawnień naprawczych (w tym poprzez zastosowanie środka z art. 58 ust. 2 lit. b) RODO) również po ustaniu naruszeń. Nie jest wymagane, aby stan naruszenia był kontynuowany w dacie wydania rozstrzygnięcia, wystarczy bowiem samo ustalenie, że naruszenie takie zaistniało.
Sprawa dotyczyła skargi na decyzję, w której PUODO upomniał bank za nieprawidłowości w przetwarzaniu danych objętych tajemnicą bankową po wygaśnięciu zawartej z bankiem umowy kredytowej.
art. 105a ust. 2 i 3 prawa bankowego
2. [Banki i inni pożyczkodawcy] mogą przetwarzać informacje stanowiące tajemnicę bankową (…) w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy (…) pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana.
3. [Banki i inni pożyczkodawcy] mogą przetwarzać informacje stanowiące tajemnicę bankową (…) dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy (…) bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z [pożyczkodawcą], a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez [pożyczkodawcę] o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.
Zaczęło się od tego, że kobieta miała przeszło 60-dniowe opóźnienie w spłacie kredytu, bank wysłał do klientki, zwykłym listem, pismo o informujące o zamiarze przetwarzania jej danych po wygaśnięciu zobowiązania — w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Po roku klientka zażądała zaprzestania przetwarzania jej danych, jednak bank odpisał, że mimo wycofania zgody dane osobowe mogą być przetwarzane przez 5 lat. W tym momencie klientka wniosła skargę do PUODO — zaś bank uczynił zadość żądaniu, wyjaśniając równocześnie, że dane zostały przeniesione do części statystycznej BIK (art. 105a ust. 4 pr.bank).
W wydanej decyzji PUODO stwierdził, że co do zasady przetwarzanie danych osobowych stanowiących tajemnicę bankową jest dopuszczalne (art. 6 ust. 1 lit. f) RODO), prawidłowa była też umowa powierzenia przetwarzania zawarta z BIK — ale samo oświadczenie, że pismo zostało sporządzone i wysłane nie jest równoznaczne z dowodem, iż zostało prawidłowo doręczone. Oznacza, że nie zaistniały przesłanki do przetwarzania danych po zakończeniu umowy, także przed tym jak klientka zażądała zaprzestania ich przetwarzania — zatem organ zastosował środek naprawczy w postaci upomnienia.
We wniesionej do sądu skardze bank podkreślił, że dane klientki były przetwarzane na podstawie jej zgody, zatem PUODO nieprawidłowo ustalił fakty. Co więcej zaprzestanie przetwarzania danych oznacza bezprzedmiotowość postępowania administracyjnego i skutkuje koniecznością jego umorzenia.
art. 105 par. 1 kodeksu postępowania administracyjnego
Gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części.
Wojewódzki Sąd Administracyjny podzielił część zarzutów banku: analiza ryzyka kredytowego i ocena zdolności kredytowej może uzasadniać przetwarzanie danych klienta objętych tajemnicą bankową po wygaśnięciu zobowiązania kredytowego. Podstawą do takiego przetwarzania może być pisemna zgoda kredytobiorcy (art. 105a ust. 2 pr.bank); w przypadku opóźnienia w spłacie należności dane mogą być przetwarzane na potrzeby analizy zdolności i oceny ryzyka kredytowego także bez zgody klienta, po jego prawidłowym poinformowaniu (art. 105a ust. 3 pr.bank.).
W toku sprawy PUODO całkowicie pominął przedstawianą przez bank argumentację, iż podstawą przetwarzania danych osobowych klientki po wygaśnięciu zobowiązania kredytowego była jej pisemna zgoda. Skarżący przedstawił na tę okoliczność dowody, które zostały przez organ nadzorczy pominięte, co stanowi naruszenie przepisów o postępowaniu dowodowym.
Uchylając decyzję WSA stwierdził, że zaprzestanie bezprawnego przetwarzania danych osobowych nie powoduje bezprzedmiotowości postępowania. PUODO może sięgnąć do uprawnień naprawczych (art. 58 ust. 2 RODO) także wówczas, gdy naruszenia już ustały, albowiem całkowicie wystarczające jest ustalenie, że doszło do naruszeń zasad RODO. Oznacza to, że prowadząc sprawę na nowo organ będzie musiał wziąć pod uwagę rzeczywisty okres naruszeń, który trwał znacznie krócej niż rok.