Czy prywatne podmioty analizujące zdolność kredytową potencjalnych klientów mają prawo przetwarzać publiczne dane dotyczące bankrutów? Czy usunięcie danych osobowych z publicznego rejestru oznacza obowiązek ich usunięcia z prywatnej bazy? Czy jednak uzasadniony interes firmy tworzącej scoringi i sektora kredytowego może przemawiać za ich pozostawieniem? I, wcale nie na marginesie: czy sąd, badający skargę organu ochrony danych osobowych, powinien ograniczyć się do analizy aspektów formalnych — czy jednak może wgryźć się w temat merytorycznie?
wyrok Trybunału Sprawiedliwości UE z 7 grudnia 2023 r. w/s SCHUFA (C‑26/22 i C‑64/22)
1) [Zgodnie z art. 78 ust. 1 RODO] wydana przez organ nadzorczy decyzja w sprawie skargi podlega pełnej kontroli sądowej.
2) [Sprzeczna z RODO jest praktyka] prywatnych biur informacji kredytowej polegająca na przechowywaniu, we własnych bazach danych, pochodzących z rejestru publicznego informacji dotyczących przyznanego osobom fizycznym zwolnienia z pozostałej części długu, aby biura te mogły udzielać informacji o zdolności kredytowej tych osób, przez okres dłuższy niż ten, w którym dane są przechowywane w rejestrze publicznym.
3) [Zgodnie z art. 17 ust. 1 lit. c) RODO] osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, gdy wnosi ona sprzeciw wobec przetwarzania zgodnie z art. 21 ust. 1 tego rozporządzenia i nie występują nadrzędne prawnie uzasadnione podstawy mogące wyjątkowo usprawiedliwiać odnośne przetwarzanie.
4) [Zgodnie z art. 17 ust. 1 lit. d) RODO] administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, które były przetwarzane niezgodnie z prawem.
Sprawa zaczęła się od upadłości konsumenckiej oraz przedterminowego zwolnienia, w ramach postępowania upadłościowego, z części długu.
Stosowne postanowienia sądowe zostały udostępnione w internecie i usunięte po 6 miesiącach; aczkolwiek w tzw. międzyczasie dane te pobrało prywatne biuro informacji kredytowej SCHUFA, które przewiduje przetwarzanie w/w informacji przez kolejne 3 lata (Przypomnieć warto, że SCHUFA m.in. świadczy usługi w zakresie tworzenia scoringu kredytowego i oceny wiarygodności kredytowej potencjalnych klientów banków.)
Zdaniem zainteresowanych przetwarzanie danych zaciągniętych z publicznego rejestru poza okresem ich przetwarzania w bazie „macierzystej” narusza prawo do bycia zapomnianym.
Sprawa, po tym jak organ nadzoru nie uwzględnił skargi, trafiła do sądu, który powziął wątpliwość: czy rozpatrując skargę na decyzję organu sąd powinien ograniczyć się do oceny formalnych aspektów postępowania — bo to organ jest władny stwierdzić, czy ktoś naruszył RODO — czy jednak może odnieść się także do merytorycznej poprawności rozstrzygnięcia? czy firma scoringowa może przetwarzać dane tak długo, jak jest to niezbędne do założonego celu, na podstawie prawnie uzasadnionego interesu? czy jednak usunięcie danych z publicznego rejestru oznacza obowiązek ich skasowania także z baz prywatnych?
art. 21 ust. 1 dyrektywy 2014/17 w/s konsumenckich umów o kredyt związanych z nieruchomościami mieszkalnymi
Każde państwo członkowskie zapewnia wszystkim kredytodawcom ze wszystkich państw członkowskich dostęp do baz danych wykorzystywanych w danym państwie członkowskim na potrzeby przeprowadzania oceny zdolności kredytowej konsumentów i jedynie na potrzeby monitorowania przestrzegania przez konsumentów zobowiązań kredytowych w całym okresie obowiązywania umowy o kredyt. Warunki takiego dostępu są niedyskryminujące.
art. 24 ust. 1-2 rozporządzenia 2015/848 w/s postępowania upadłościowego
1. Państwa członkowskie ustanawiają i prowadzą na swoim terytorium co najmniej jeden rejestr, w którym ogłasza się informacje o postępowaniach upadłościowych („rejestry upadłości”). Informacje ogłasza się natychmiast po wszczęciu takiego postępowania.
2. Informacje, o których mowa w ust. 1, są udostępniane publicznie (…)
art. 17 ust. 1 lit. c-d) rozporządzenia 679/2016 o ochronie danych osobowych
Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
W wydanym wyroku Trybunał Sprawiedliwości UE stwierdził, iż:
- skuteczność środka prawnego jakim jest kontrola sądowa decyzji dotyczącej skargi organu ochrony danych osobowych sprawia, iż sąd nie może się ograniczać do kwestii proceduralnych (prawidłowości decyzji, etc.) — postępowanie skargowe nie ma charakteru petycji, zaś ograniczona jurysdykcja nie zapewniałaby skutecznej ochrony sądowej, niezależnie od tego, czy skarga została oddalona czy odrzucona;
- zasada pełnej kontroli sądowej nie oznacza przy tym naruszenia gwarancji niezależności organu (zatem, można dośpiewać za TSUE, PUODO powinien, jeśli trzeba, powołać biegłego — i nie pieklić się, jeśli NSA mu wytknie, że powinności takiej uchybił), bo chociaż to w jego gestii leży badanie naruszeń, to środki ochrony prawnej mogą być wykonywane równocześnie i niezależnie od siebie, zaś wiele konkurencyjnych sposobów daje każdemu więcej możliwości dochodzenia swych praw;
- odnośnie natomiast okresu przechowywania danych osobowych i tego, czy usunięcie danych osobowych z rejestru publicznego powinno wiązać się z automagicznym ich skasowaniem z baz prywatnych, TSUE zwrócił uwagę, że chociaż uzasadniony interes administratora lub jego kontrahentów może być podstawą przetwarzania danych, to nawet wówczas obowiązuje zasadza minimalizacji danych;
- chociaż więc nie istnieje reguła, w myśl której prawa i wolności osoby stałyby hierarchicznie wyżej od celu wynikającego z prawnie uzasadnionego interesu podmiotów tworzących scoring kredytowy — celem takim może być np. bezpieczeństwo obrotu, zmniejszenie ryzyka oszustwa, realizacja obowiązku ustalenia zdolności kredytowej, a nawet szybkość i łatwość udzielania kredytów — to jednak należy też brać pod uwagę „racjonalne oczekiwania” tej osoby, a także zakres operacji przetwarzania i ich wpływ na sytuację jednostki;
- biorąc więc pod uwagę, że biuro informacji kredytowych przetwarza dane nie w związku z konkretnym wnioskiem kredytowym, ale na okoliczność zdarzeń przyszłych („na zapas” — tu też chyba warto zauważyć, że TSUE nie widzi w tym procederze niczego zdrożnego) — to można przyjąć, iż dalsze przetwarzanie informacji o zwolnieniu z długu po upadłości, po usunięciu ich z rejestrów publicznych — o ile żaden bank nie skorzystał z tych danych — nie jest niezbędne;
- usunięcie pobranych z publicznego rejestru danych o upadłości i umorzeniu długu podpowiada także konieczność ochrony prywatności człowieka: informacja taka ma wszakże znaczący i negatywny wpływ na zdolność kredytową, zaś zwolnienie z długu ma na celu umożliwienie powrotu do życia gospodarczego — jego realizację uniemożliwiałoby dalsze przetwarzanie tej informacji przez biura informacji kredytowej;
- należy też mieć na uwadze, że ocena, iż przetwarzanie danych nastąpiło z naruszeniem prawa, jak też sprzeciw, są podstawą usunięcia danych przez administratora — toteż jeśli sąd lub organ ustali, że interes firmy SCHUFA lub jej klientów nie usprawiedliwia dłuższego przetwarzania danych po upadłości, to informacje te będą podlegały usunięciu.
Zamiast komentarza: początkowo lekko zdębiałem, bo przecież skoro istotą scoringu jest m.in. bezpieczeństwo rynku, to trudno powiedzieć, by pół roku po skasowaniu informacji o umorzeniu długu obciążającego bankruta owo ryzyko ustało… Ale tu przyszło mi do głowy, że przecież prawodawca się nie myli: skoro przewiduje najsamprzód upublicznienie informacji o upadłości, ale też usunięcie danych o upadłości z publicznego rejestru — to nie można udawać, że to nie ma znaczenia.
Kwestię, czy z orzeczenia wynika, że RODO wymusza zmianę formuły naszego postępowania administracyjnego — pozostawiam do dyskusji.