Czy przetwarzanie danych osobowych w celu odparcia potencjalnych roszczeń klienta to przetwarzanie „na zapas”?

Czy dopuszczalne jest przetwarzanie danych niedoszłego klienta — takiego, który ubiegał się o zawarcie umowy, ale mu przedsiębiorca odmówił? Czy banki i BIK mogą przetwarzać dane osobowe zawarte we wniosku kredytowym do czasu przedawnienia — niezgłoszonych, a więc realnie nieistniejących — roszczeń klienta? Czy jednak przetwarzanie danych osobowych w celu odparcia potencjalnych roszczeń jest przetwarzaniem „na zapas”, a więc nadmiarowym?

nieprawomocny wyrok WSA w Warszawie z 29 października 2021 r. (II SA/Wa 506/21)
Prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem.

Sprawa zaczęła się od skargi na przetwarzanie przez Biuro Informacji Kredytowych danych z zawartych w przesłanych przez bank zapytaniach kredytowych. Skarżący powołał się na to, że nie podpisał umowy o kartę kredytową, co oznacza, że nie istniała podstawa prawna do dalszego przetwarzania jego danych osobowych — ale mimo to BIK odmówił ich usunięcia.

W toku postępowania BIK wyjaśnił, że obowiązek przetwarzania danych częściowo wynika m.in. z rekomendacji KNF. Natomiast dane pochodzące z zapytań banków przetwarza przez 12 miesięcy — w celu oceny indywidualnej zdolności kredytowej i analizy ryzyka kredytowej; przez 5 lat — w celu budowy modeli scoringowych; przez 10 lat — w celach statystycznych i analiz; a także w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych — do momentu przedawnienia potencjalnych roszczeń.

art. 105a ust. 1a ustawy prawo bankowe
Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych — również stanowiących tajemnicę bankową — pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.

W wydanej decyzji Prezes Urzędu Ochrony Danych Osobowych stwierdził, że art. 105a pr.bank. pozwala na przetwarzanie danych przed powstaniem zobowiązania, w trakcie jego trwania i po wygaśnięciu. Jednak brak zawarcia umowy z bankiem oznacza odpadnięcie przesłanki dalszego przetwarzania danych osobowych — bo skoro nie doszło do nawiązania stosunku zobowiązaniowego, a celem przetwarzania danych była analiza zdolności kredytowej, to cele te zostały zrealizowane, a inna podstawa prawna nie istnieje. Dalszego przetwarzania nie usprawiedliwia także dochodzenie lub obrona przed roszczeniami: niedoszły kredytobiorca żadnych roszczeń nie wysunął, zaś uzasadniony cel administratora pozwala na przetwarzanie danych wynikających z celu istniejącego, lecz nie przyszłego, niepewnego, potencjalnego. Okresu przetwarzania danych nie sposób wiązać przy tym z terminami przedawnienia roszczeń — bo odkąd przedawnienie roszczenia nie oznacza jego wygaśnięcia, to nie sposób wiązać go z uprawnieniem do przetwarzania danych na wypadek zaistnienia sporu. Z tego względu PUODO nakazał zarówno BIK-owi, jak i bankowi, usunąć dane pochodzące z wniosku kredytowego, których przetwarzanie jest nieadekwatne do celu ich pozyskania.

Badając wniesioną przez BIK skargę Wojewódzki Sąd Administracyjny podszedł do sprawy nieco inaczej. Prawo bankowe nakłada na banki i BIK obowiązek przetwarzania danych pochodzących z wniosków kredytowych, w tym objęte tajemnicą bankową, w zakresie niezbędnym do wykonywania czynności bankowych. Brak zawarcia umowy kredytowej nie oznacza, iżby wygasła podstawa do dalszego przetwarzania danych zawartych we wnioskach — funkcjonowanie systemu oceny zdolności kredytowej i analizy ryzyka kredytowego wiąże się z koniecznością przetwarzania danych nawet po odmownej decyzji kredytowej. Przepisy te stanowią o istnieniu obowiązku prawnego, którego wykonanie legalizuje przetwarzanie danych osobowych (art. 6 ust. 1 lit. c) RODO).
Co więcej dopuszczalne jest przetwarzanie danych osobowych zarówno w celu odparcia potencjalnych roszczeń, których niedoszły klient jeszcze nie przedstawił, jak i w celu zabezpieczenia własnych roszczeń, które instytucja finansowa czy BIK mogą dochodzić od klienta. Takie przetwarzanie danych osobowych w celu ustalenia, dochodzenia i ochrony przed potencjalnymi roszczeniami, do upływu okresu przedawnienia, mieści się w pojęciu prawnie uzasadnionego interesu administratora, które to pojęcie nie może być interpretowane jako interes wynikający z przepisu prawa. Przywołane w art. 6 ust. 1 lit. f) RODO pojęcie prawnie uzasadnionego interesu ma charakter swoistej klauzuli generalnej, która zwiększa elastyczność całego katalogu przesłanek przetwarzania, zatem możliwość powołania się na nią nie wymaga wskazanie konkretnej normy prawnej literalnie pozwalającej dane przetwarzać.
(Wcale nie na marginesie WSA zauważył, że rekomendacje Komisji Nadzoru Finansowego rzeczywiście mogą nakładać na instytucje finansowe pewne powinności w zakresie przechowywania danych, zatem PUODO nie powinien był argumentu tego zbywać, lecz jego obowiązkiem jest wyjaśnić kwestię wspólnie z innym organem (art. 7b kpa).

Tytułem komentarza: bankowi czy BIK-owi przykro byłoby się obudzić za dwa lata ze skargą lub pozwem od niedoszłego klienta, lecz bez możliwości sięgnięcia po jakiekolwiek materiały na swoją obronę (mój ulubiony schemat: „wyraziłem zgodę, ale teraz ją cofam, usuńcie!” — „dane usuwamy, dziękujemy za współpracę” — mija tuzin miesięcy, po których klient: „ach! przetwarzali moją osobowość, wysyłali mnie jakieś reklamy, żądam spełnienia moich żądań!”) — więc oczywiście stanowisko PUODO należy uznać za błędne i nietrafne.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

9 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
9
0
komentarze są tam :-)x